Se ha lanzado públicamente a una exploit de prueba de concepto armada dirigida a CVE-2025-54309, una vulnerabilidad de derivación de autenticación severa que afecta a los servidores de transferencia de archivos CrushFTP.
El defecto permite a los atacantes remotos obtener privilegios administrativos a través de una condición de carrera en el procesamiento de validación de AS2, eludiendo por completo los mecanismos de autenticación.
Control de llave
1.
2. Public POC en GitHub confirma instancias vulnerables sin agregar puertas traseras.
3. Actualice, habilite el proxy DMZ y esté atento a las espigas posteriores.
Explotada por primera vez en la naturaleza en julio de 2025, la vulnerabilidad afecta las versiones CLSTTFTP 10 antes de 10.8.5 y 11 antes de 11.3.4_23 Cuando la función proxy DMZ permanece deshabilitada, una configuración que afecta la mayoría de las instancias desplegadas en entornos empresariales.
Vulnerabilidad CLANTFTP de 0 días
El proveedor postmortem publicado el 18 de julio de 2025 reconoció la orientación activa de las instancias de CrushFTP, pero culpó a los usuarios por no aplicar un parche silencioso que nunca se anunció públicamente.
Con más de 30,000 instancias expuestas en línea, los atacantes explotaron el mal manejo de la validación de AS2 para obtener acceso administrativo a través de HTTPS.
Específicamente, la falla reside en WebInterface/ Function/ Endpoint, donde dos solicitudes de post HTTP secuenciales corren para establecer el estado de sesión:
Al emitir la solicitud 1 (con el encabezado AS2-to: \ Crushadmin) seguido inmediatamente por la solicitud 2 (omitiendo el encabezado pero reutilizando las mismas cookies de sesión), los atacantes ganan una condición de carrera que se hace pasar por el usuario de Crushadmin incorporado e invoca con éxito a SetUseritem para crear una nueva cuenta administrativa.
Las solicitudes independientes devuelven 404, pero cuando se ejecutan a alta concurrencia, la solicitud 2 devuelve una respuesta de 200 OK confirmar la creación administrativa de usuarios.
Factores de riesgo Los productos afectados por DetailScrushftp 10 versiones antes de 10.8.5
VERSIONES DE CLANTFTP 11 antes del 11.3.4_23ImpactAuthentication bypass, el código remoto EjecutionExPloit Requisitos previos de proxy Desactivados;
Exploit de POC
WatchToWr Labs ha publicado Un exploit POC completamente funcional en GitHub, lo que permite a los equipos de seguridad verificar instancias vulnerables de CrushFTP sin agregar puertas traseras persistentes.
El POC simplemente extractos la lista de usuarios para confirmar la explotación:
Además, los investigadores recomiendan monitorear los picos anómalos en las solicitudes de publicación a/Webinterface/Function/con patrones repetitivos AS2-to y cookies.
Los equipos de seguridad deben implementar firmas de detección de intrusos que coincidan con esta condición de carrera e implementar la limitación de la velocidad de red para mitigar los intentos de explotación de alta frecuencia.
La mitigación incluye:
Actualización a CrushFTP 10.8.5 o 11.3.4_23 (o posterior). Habilite la función de proxy DMZ si ya no está configurada. Auditoría de adiciones de usuario administrativo y valida los patrones de reutilización de sesión.
Las organizaciones que aprovechan CrushFTP deben tratar a CVE-2025-54309 como un riesgo crítico y actuar rápidamente para defenderse de la explotación en el flujo.
¿Cansado de llenar formularios para cuestionarios de seguridad y cumplimiento? ¡Automúalos en minutos con 1UP! Comience su prueba gratuita ahora!
