Resumen sobre la Vulnerabilidad de CrushFTP (CVE-2025-31161)
Recientemente, OUTPOST24 identificó una grave vulnerabilidad en el software de transferencia de archivos CrushFTP, catalogada como CVE-2025-31161. Esta falla tiene una puntuación de severidad de 9.8 en la escala CVSS y permite a los atacantes acceder sin autenticación a dispositivos que utilizan versiones no parcheadas de CrushFTP, específicamente V10 y V11. Desde la identificación de la vulnerabilidad, se han encontrado aproximadamente 1,500 instancias expuestas en línea.
La falla se presenta en el encabezado de autorización HTTP relacionado con el soporte de la autenticación AWS4-HMAC-SHA256, utilizada para los servicios de Amazon. El problema radica en que el servidor permite la autenticación de usuarios sin requerir una contraseña válida, lo que permite a los atacantes omitir el control de acceso y autenticarse como cualquier usuario, incluidos los administradores, mediante una condición de carrera. Esta situación se facilita porque muchos usuarios tienden a usar nombres de usuario previsibles, como "Crushadmin", lo que aumenta el riesgo de explotación.
OUTPOST24 comunicó su hallazgo a CrushFTP el 18 de marzo de 2025, y se estableció un acuerdo de divulgación que permitía un período de 90 días para que los usuarios aplicaran parches antes de que la vulnerabilidad fuese conocida públicamente. Sin embargo, el 26 de marzo, otra entidad lanzó un CVE diferente para la misma vulnerabilidad (CVE-2025-2825) sin seguir el proceso de divulgación responsable, lo que generó una fuga prematura de información. Esto contravino el propósito de la divulgación coordinada, poniendo en peligro a los usuarios de CrushFTP al alertar a los atacantes de la existencia de la vulnerabilidad.
CrushFTP lanzó parches para mitigar la vulnerabilidad, y se recomienda encarecidamente a todos los usuarios que actualicen a las versiones 10.8.4 o 11.3.1 de inmediato. En caso de que la actualización no sea posible, se sugiere habilitar una configuración de red DMZ como medida temporal de protección.
La metodología de explotación de la vulnerabilidad depende de un proceso específico: un atacante genera una token de sesión aleatoria, establece cookies correspondientes e intenta realizar una solicitud de autorización con un encabezado modificado. La desequilibrada gestión de sesiones permite al atacante aprovechar el sistema como cualquier usuario elegido, exponiendo así el entorno a un alto riesgo de compromisos serios.
Línea de Tiempo de los Eventos:
- 13 de marzo de 2025: OUTPOST24 solicita un CVE a MITRE.
- 18 de marzo de 2025: Comunicación inicial con CrushFTP sobre la vulnerabilidad.
- 19 de marzo de 2025: Reunión técnica con el CEO de CrushFTP para discutir un parche.
- 20 y 24 de marzo de 2025: Discusiones sobre la divulgación responsable y el tiempo de espera necesario.
- 26 de marzo de 2025: Lanzamiento de CVE-2025-2825 por un tercero, sin consulta previa.
- 27 de marzo de 2025: Asignación del CVE oficial (CVE-2025-31161).
- 28 de marzo de 2025: Comienzo de la circulación de información sobre la vulnerabilidad, facilitando su explotación.
Es crucial que las organizaciones que utilizan CrushFTP tomen medidas inmediatas para aplicar los parches necesarios y proteger sus sistemas contra posibles ataques. OUTPOST24 también ofrece soluciones de monitoreo continuo para ayudar a las organizaciones a manejar vulnerabilidades futuras y proteger sus aplicaciones web.
Otros Detalles:
- CrushFTP: Es un software que permite la transferencia de archivos de forma segura y eficiente.
- CVE-2025-31161: La vulnerabilidad permite el acceso no autenticado a servidores con versiones afectadas de CrushFTP.
Ante esta grave amenaza, la pronta acción y la aplicación de buenas prácticas de seguridad son esenciales para mitigar los riesgos asociados.