記事本文(要約)
米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、CrushFTPに影響を及ぼす認証バイパスの脆弱性(CVE-2025-31161)を「既知の脆弱性」カタログに追加しました。この脆弱性は、認証なしで攻撃者が任意のアカウントにアクセスできる可能性があります。この問題はバージョン10.8.4と11.3.1で修正されていますが、既に野外で悪用されています。
CVEナンバーに関しては、MITREがCVE-2025-31161を発行するまでに混乱が生じ、別のCVE番号(CVE-2025-2825)が一時的に使用されていました。この脆弱性は、すでに複数の攻撃で悪用され、攻撃者がリモートデスクトップソフトウェアをインストールして資格情報を収集する可能性があります。現在、未修正のインスタンスが多数あり、特に北米とヨーロッパに集中しているため、連邦民間行政機関(FCEB)は4月28日までにパッチを適用するよう求められています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 08 Apr 2025 13:41:00 +0530
Original URL: https://thehackernews.com/2025/04/cisa-adds-crushftp-vulnerability-to-kev.html
詳細な技術情報
- CVE番号
- CVE-2025-31161として識別されています。この脆弱性は以前はCVE-2025-2825として追跡されていましたが、現在はリジェクトされています。
- 脆弱性の仕組み
- 認証バイパスが問題の鍵となっています。具体的には、HTTP認証ヘッダにおけるバイパスが可能であり、これによってリモートの認証されていない攻撃者が既知または推測可能なユーザーアカウント(例:crushadmin)に対し認証されることが可能になり、完全にシステムを掌握する可能性があります。
- 攻撃手法
- 1. 任意の英数字で構成された31文字以上のセッショントークンを生成。
- 2. 作成したトークンを値として、CrushAuthというクッキーを設定。
- 3. 同様に、トークンの最後の4文字を値としてcurrentAuthというクッキーを設定。
- 4. ターゲット/WebInterface/function/に対してHTTP GETリクエストを行う。この際、Authorizationヘッダを”AWS4-HMAC=/”(は、例としてcrushadmin)にする。 この手法により、攻撃者は別のユーザーとして認証され、そのユーザーが持つ権限でコマンドを実行することが可能です。
- 潜在的な影響
- システムの完全な乗っ取りに繋がる可能性があります。
- 攻撃者によるリモートデスクトップソフトウェア(AnyDesk, MeshAgentなど)のインストールや、クレデンシャルの収集が可能となります。
- さらに、Telegramボットを用いた感染ホストからのテレメトリ収集も指摘されています。
- 推奨される対策
- CrushFTPのバージョンを10.8.4または11.3.1以上に更新し、この認証バイパスの脆弱性を修正する。
- 重要なシステムやネットワークのモニタリングを強化し、異常な活動を検知する体制を整える。
- 管理者資格情報や他の重要なクレデンシャルの流出を防ぐため、セキュリティ意識の向上や適切なパスワード管理を徹底させる。
- その他の詳細
- 現在、未パッチの脆弱なインスタンスが815件あり、その多くが北アメリカおよびヨーロッパに集中しています。 – これらの脅威に対抗するために、米連邦民間執行機関(FCEB)は2025年4月28日までに必要なパッチの適用を義務付けられています。
