El desacierto de seguridad crítico recientemente revelado que impacta CLANTFTP ha complemento la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de EE. UU. A su catálogo de vulnerabilidades explotadas (KEV) conocidas posteriormente de que surgieron informes de la explotación activa en la naturaleza.
La vulnerabilidad es un caso de bypass de autenticación que podría permitir que un atacante no autenticado se haga cargo de instancias susceptibles. Se ha solucionado en las versiones 10.8.4 y 11.3.1.
«CrushFTP contiene una vulnerabilidad de derivación de autenticación en el encabezado de autorización HTTP que permite que un atacante remoto no autenticado se autentique en cualquier cuenta de heredero conocida o adivinable (por ejemplo, Crushadmin), lo que puede conducir a un compromiso total», dijo CISA en un asesor.
A la deficiencia se le ha asignado al identificador CVE CVE-2025-31161 (puntaje CVSS: 9.8). Llega a señalar que la misma vulnerabilidad se rastreó previamente como CVE-2025-2825, que ahora ha sido marcada rechazada en la relación CVE.
El mejora se produce posteriormente de que el proceso de divulgación asociado con la error se ha enredado en controversia y confusión, con Vulncheck, adecuado a que es una autoridad de numeración de CVE (CNA), se asignó un identificador (es sostener, CVE-2025-2825), mientras que el CVE vivo (es sostener, CVE-2011611) había sido pendiendo.
OUTPOST24, que se acredita con revelar responsablemente el defecto al proveedor, ha intervenido para aclarar que solicitó un número CVE de Miter el 13 de marzo de 2025, y que estaba coordinando con CrushFTP para asegurar que las correcciones se implementaran adentro de un período de divulgación de 90 días.
Sin bloqueo, no fue hasta el 27 de marzo que Miter asignó el defecto el CVE CVE-2025-31161, cuando Vulncheck había agresivo un CVE propio sin contactar «Crushftp o Outpost24 antaño para ver si un proceso de divulgación responsable ya estaba en marcha».
Vulncheck, por su parte, ha criticado a Miter por rebotar CVE-2024-2825 y editar CVE-2025-31161, al tiempo que acusa a Crushftp de intentar encubrir la vulnerabilidad.
«Crushftp, LLC publicó un aviso, pero solicitó deliberadamente que no se emita una CVE durante 90 días, tratando de ocultar efectivamente la vulnerabilidad de la comunidad de seguridad y los defensores», dijo el investigador de seguridad de Vulncheck, Patrick Garrity, en una publicación sobre LinkedIn.
«Lo peor es que Miter parece acaecer priorizado su billete en la redacción sobre la divulgación oportuna de una vulnerabilidad que se estaba explotando activamente en la naturaleza. Esto establece un precedente peligroso».
Desde entonces, la compañía sueca de ciberseguridad ha publicado instrucciones paso a paso para activar la exploit sin compartir gran parte de los detalles técnicos,
- Genere una token de sesión alfanumérica aleatoria de un insignificante de 31 caracteres de largo
- Establezca una cookie llamamiento CrushAuth al valencia generado en el paso 1
- Establezca una cookie llamamiento CurrentAuth a los últimos 4 caracteres del valencia generado en el paso 1
- Realice una solicitud HTTP GET para el destino/Interfaz de web/función/con las cookies de los pasos 2 y 3, así como un encabezado de autorización establecido en «AWS4-HMAC =
/,» dónde El heredero se registra como (por ejemplo, Crushadmin)
Un resultado neto de estas acciones es que la sesión generada al principio se autentica como el heredero favorito, lo que permite a un atacante ejecutar cualquier comando que el heredero tenga derechos.
Huntress, que recreó una prueba de concepto para CVE-2025-31161, dijo que observó la explotación en el flujo de CVE-2025-31161 el 3 de abril de 2025, y que no se cubrió una actividad posterior a la explotación que implicó el uso de agente meshcentral y otro malware. Hay alguna evidencia que sugiere que el compromiso puede acaecer ocurrido tan pronto como el 30 de marzo.
La firma de ciberseguridad dijo que ha gastado esfuerzos de explotación dirigidos a cuatro anfitriones distintos de cuatro compañías diferentes hasta la aniversario, y agregó que tres de los afectados fueron alojados por el mismo proveedor de servicios administrados (MSP). No se revelaron los nombres de las empresas impactadas, pero pertenecen a los sectores de marketing, saldo minorista y semiconductores.
Se ha descubierto que los actores de amenaza arman el acercamiento para instalar software de escritorio remoto probado como Anydesk y Meshagent, al tiempo que toman medidas para cosechar credenciales en al menos un caso.
A posteriori de implementar Meshagent, se dice que los atacantes agregaron a un heredero no administrador («Crushuser») al corro de administradores locales y entregaron otro binario C ++ («D3D11.DLL»), una implementación de la biblioteca de código descubierto TGBOT.
«Es probable que TT sea la amenaza que los actores están haciendo uso de un bot de telegrama para cosechar telemetría de anfitriones infectados», dijeron los investigadores de Huntress.
A partir del 6 de abril de 2025, hay 815 instancias sin parches vulnerables al defecto, con 487 de ellos ubicados en América del Ideal y 250 en Europa. A la luz de la explotación activa, las agencias de la rama ejecutiva civil federal (FCEB) deben aplicar los parches necesarios antaño del 28 de abril para apoyar sus redes.
