記事本文(要約)
攻撃者がCrushFTPファイル転送ソフトの重大な認証バイパスの脆弱性(CVE-2025-2825)を標的にしており、この脆弱性を利用するための公に利用可能な概念実証コードを使用しています。この脆弱性により、未パッチのCrushFTP v10またはv11を実行しているデバイスにリモートから認証なしでアクセスできるようになります。CrushFTPは2025年3月21日にパッチをリリースし、直ちに修正を呼びかけました。この脆弱性を避けるためには、すぐにパッチを適用できない場合、DMZを設定することが推奨されています。しかし、驚くべきことに、Shadowserverは未だ1500以上の脆弱なインスタンスがインターネット上に存在していると報告しています。さらに、ファイル転送製品はランサムウェアグループの標的となりやすく、特にClopはこれまでにいくつかのソフトウェアで同様の攻撃を行っています。また、過去にもCrushFTPは他の脆弱性(CVE-2024-4040やCVE-2023-43177)を通して攻撃されており、それぞれが重大な対応を要しました。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 01 Apr 2025 08:46:21 -0400
Original URL: https://www.bleepingcomputer.com/news/security/critical-auth-bypass-bug-in-crushftp-now-exploited-in-attacks/
詳細な技術情報
- 脆弱性の概要
- CVE番号: CVE-2025-2825
- 発見者: Outpost24
- 対象ソフトウェア: CrushFTP v10 および v11
- 影響: リモートの攻撃者が未認証のままデバイスにアクセス可能
- 脆弱性の仕組み
- この脆弱性は、CrushFTPが提供するHTTP(S)ポートが適切に保護されていない場合、遠隔の攻撃者が認証無しでアクセスできるというものです。これにより、攻撃者は特定の手順を踏まずに直接的にサーバにアクセスできることになります。
- 攻撃手法
- 攻撃者は公開されたProof-of-Concept(PoC)のコードに基づいて、この脆弱性を利用した攻撃を試みます。PoCコードは、攻撃者がHTTP(S)ポートを介して認証バイパスを行う方法を提供しており、これを悪用されたインスタンスに適用することで不正アクセスが可能になります。
- 潜在的な影響
- データ漏洩: 認証バイパスにより、機密データや転送中のファイルに不正アクセスされる可能性があります。
- サーバの乗っ取り: 攻撃者がサーバ全体の制御を奪取し、さらなる攻撃の踏み台として利用する可能性があります。
- ランサムウェア攻撃: ファイル転送製品はランサムウェアグループの標的になりやすく、データの暗号化や身代金要求に利用されるリスクがあります。
- 推奨される対策
- 1. パッチの適用: CrushFTPは脆弱性を修正するパッチをリリースしているため、ユーザーは直ちにCrushFTP 10.8.4および11.3.1以上にアップデートすべきです。
- 2. DMZの設定: すぐに更新できない場合は、DMZ(非武装地帯)ネットワークオプションを有効にし、外部からの直接アクセスを防ぐようにします。
- 3. ネットワーク監視: honeypotsや侵入検知システムを使用して、ネットワークを流れるトラフィックを監視し、異常なアクセスや攻撃試行を早期に検知します。
- その他の関連脆弱性
- CVE-2024-4040: 認証無しにユーザーの仮想ファイルシステムを脱出し、システムファイルをダウンロード可能な脆弱性。
- CVE-2023-43177: リモートコード実行バグで、攻撃者が任意のコードを実行できる恐れ。 このように、CrushFTPは過去にも複数の深刻な脆弱性が報告されており、利用する場合は常に最新のセキュリティパッチを適用することが重要です。
