ISGroup Cybersicherheitsberatung

Kritischer Authentifizierungs-Bypass in CrushFTP (CVE-2025-31161)

CVE-2025-31161 ist eine kritische Schwachstelle, die aktiv in der Praxis ausgenutzt wird. Aufgrund ihrer Schwere und der weiten Verbreitung von CrushFTP in Unternehmensumgebungen hat sie große Aufmerksamkeit erregt. Die Schwachstelle hat einen CVSS-Wert von 9.8, was ihre geringe Komplexität und ihre hohen Auswirkungen unterstreicht.

ProduktCrushFTP
Datum15.04.2025 15:17:47
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

CVE-2025-31161 betrifft die CrushFTP-Versionen 10.0.0 bis 10.8.3 sowie 11.0.0 bis 11.3.0. Sie hat ihren Ursprung in einer fehlerhaften Implementierung der S3-Authentifizierung in der Funktion loginCheckHeaderAuth().

Die Schwachstelle liegt in der unsachgemäßen Verwendung eines booleschen Flags namens lookup_user_pass. Dieses Flag – das dazu dient, festzustellen, ob der Server ein gespeichertes Passwort oder ein in einer Anfrage bereitgestelltes Passwort verwenden soll – wird als anyPass an den Authentifizierungs-Handler weitergegeben. Wenn anyPass auf true gesetzt ist, wird die Passwortvalidierung vollständig umgangen.

Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine speziell präparierte Anfrage sendet, die Folgendes enthält:

  • Einen Authorization-Header, der wie folgt strukturiert ist:
    Authorization: AWS4-HMAC-SHA256 Credential=crushadmin/
  • Ein CrushAuth-Cookie im Format:
    CrushAuth=1743113839553_vD96EZ70ONL6xAd1DAJhXMZYMn1111
  • Einen c2f-Parameter, der den letzten 4 Zeichen des Cookies entspricht.

Aufgrund der mangelhaften Validierungslogik (z. B. Parsing nur bis zum Schrägstrich / im Feld Credential= und fehlende Signaturprüfung) kann der Angreifer die Authentifizierung umgehen und vollständigen Zugriff auf den Server erlangen. Dies beinhaltet die Möglichkeit:

  • Sensible Dateien anzuzeigen und zu exfiltrieren
  • Schadsoftware hochzuladen
  • Administrator-Benutzer zu erstellen oder zu ändern
  • Den CrushFTP-Server vollständig zu kompromittieren und sich seitwärts (lateral) innerhalb der internen Infrastruktur zu bewegen

Empfehlungen

CrushFTP hat gepatchte Versionen 10.8.4+ und 11.3.1+ veröffentlicht, welche die Authentifizierungslogik korrigieren und diesen Bypass verhindern. Alle Administratoren, die betroffene Versionen verwenden, werden dringend gebeten, das Update umgehend durchzuführen.

Erwägen Sie in der Zwischenzeit:

  • Den Zugriff auf die CrushFTP-Schnittstelle aus nicht vertrauenswürdigen Netzwerken zu blockieren
  • Die Protokolle (Logs) auf verdächtige Zugriffe zu untersuchen, die S3-Header verwenden
  • Das von ProjectDiscovery bereitgestellte Nuclei-Erkennungstemplate zu verwenden, um anfällige Instanzen zu scannen

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *