Bypass di Autenticazione Critico in CrushFTP (CVE-2025-31161)

CVE-2025-31161 è una vulnerabilità critica attivamente sfruttata nel mondo reale, che ha ricevuto ampia attenzione a causa della sua gravità e della diffusione di CrushFTP negli ambienti aziendali. La vulnerabilità ha un punteggio CVSS di 9.8, che evidenzia la sua bassa complessità e l’elevato impatto.

CrushFTP
2025-04-15 15:17:47
Fix Available, Active Exploitation

Riassunto tecnico

CVE-2025-31161 interessa le versioni di CrushFTP dalla 10.0.0 alla 10.8.3 e dalla 11.0.0 alla 11.3.0. Ha origine da un’implementazione difettosa dell’autenticazione in stile S3 nella funzione loginCheckHeaderAuth().

La vulnerabilità è radicata nell’uso improprio di un flag booleano chiamato lookup_user_pass. Questo flag—destinato a determinare se il server deve utilizzare una password memorizzata o una fornita in una richiesta—viene passato a valle come anyPass all’handler di autenticazione. Quando anyPass è impostato su true, la validazione della password viene completamente ignorata.

Un attaccante può sfruttare questa vulnerabilità inviando una richiesta appositamente costruita con:

  • Un header Authorization strutturato come:
    Authorization: AWS4-HMAC-SHA256 Credential=crushadmin/
  • Un cookie CrushAuth nel formato:
    CrushAuth=1743113839553_vD96EZ70ONL6xAd1DAJhXMZYMn1111
  • Un parametro c2f che corrisponde agli ultimi 4 caratteri del cookie.

A causa della scarsa logica di validazione (es. parsing solo fino allo slash / nel campo Credential= e mancata verifica della firma), l’attaccante può bypassare l’autenticazione e ottenere pieno accesso al server. Questo include la possibilità di:

  • Visualizzare ed esfiltrare file sensibili
  • Caricare file maligni
  • Creare o modificare utenti amministratori
  • Compromettere completamente il server CrushFTP e muoversi lateralmente all’interno dell’infrastruttura interna

Raccomandazioni

CrushFTP ha rilasciato versioni patchate 10.8.4+ e 11.3.1+ che correggono la logica di autenticazione e prevengono questo bypass. Si invita fortemente tutti gli amministratori che utilizzano versioni affette a procedere immediatamente con l’aggiornamento.

Nel frattempo, considerare di:

  • Bloccare l’accesso all’interfaccia di CrushFTP da reti non fidate
  • Analizzare i log per accessi sospetti che usano header in stile S3
  • Utilizzare il template di rilevamento Nuclei fornito da ProjectDiscovery per scandire le istanze vulnerabili

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In