UN recentemente divulgato Il difetto della sicurezza critico che ha un impatto su Crushftp è stato aggiunto dalla US Cybersecurity and Infrastructure Safety Company (CISA) alle sue vulnerabilità sfruttate be aware (Kev) Catalogo dopo rapporti emersi di sfruttamento attivo in natura.
IL vulnerabilità è un caso di bypass di autenticazione che potrebbe consentire a un attaccante non autenticato di assumere istanze sensibili. È stato fisso nelle versioni 10.8.4 e 11.3.1.
“CrushftP contiene una vulnerabilità di bypass di autenticazione nell’intestazione dell’autorizzazione HTTP che consente a un utente malintenzionato non autenticato di autenticarsi a qualsiasi account utente noto o indovinabile (advert es. CrushAdmin), portando potenzialmente a un compromesso completo”, ha detto Cisa in un avviso.
Il difetto è stato assegnato l’identificatore CVE CVE-2025-31161 (Punteggio CVSS: 9,8). Porta notando che la stessa vulnerabilità period precedentemente monitorata di CVE-2025-2825che ora è stato contrassegnato nell’elenco CVE.
Lo sviluppo arriva dopo che il processo di divulgazione associato al difetto è stato impigliato in controversie e confusione, con Vulncheck-a causa della sua autorità di numerazione CVE (CNA)-assegnato un identificatore (cioè, CVE-2025-2825), mentre il CVE effettivo (IE, CVE-2025-31161) period stato in declino.
Outpost24, a cui è accreditato di rivelare in modo responsabile il difetto al venditore, intervenuto Per chiarire che ha richiesto un numero CVE da Miter il 13 marzo 2025 e che si stava coordinando con CrushftP per garantire che le correzioni fossero lanciate entro un periodo di divulgazione di 90 giorni.
Tuttavia, non è stato fino al 27 marzo che Miter ha assegnato il difetto del CVE CVE-2025-31161, quando VulnCheck aveva rilasciato un CVE a sé stante senza contattare in anticipo “FrividTP o Outpost24 per vedere se un processo di divulgazione responsabile period già in corso”.
Da allora la società di sicurezza informatica svedese ha rilasciato istruzioni dettagliate per innescare l’exploit senza condividere gran parte delle specifiche tecniche-
- Generare un token di sessione alfanumerico casuale di un minimo di 31 caratteri di lunghezza
- Imposta un cookie chiamato CrushAuth sul valore generato nel passaggio 1
- Imposta un cookie chiamato CurreTauth sugli ultimi 4 caratteri del valore generato nel passaggio 1
- Eseguire una richiesta HTTP OTTIENI a Goal/WebInterface/Perform/con i cookie dai passaggi 2 e 3, nonché un’intestazione di autorizzazione impostata su “AWS4-HMAC =
/,” Dove è l’utente da effettuare l’accesso come (advert es. CrushAdmin)
Un risultato netto di queste azioni è che la sessione generata all’inizio viene autenticata come utente scelto, consentendo a un utente malintenzionato di eseguire tutti i comandi a cui l’utente ha diritti.
Huntress, che ha ricreato una prova di concetto per CVE-2025-31161, disse Ha osservato lo sfruttamento in tutto il mondo di CVE-2025-31161 il 3 aprile 2025 e che ha scoperto un’ulteriore attività post-sfruttamento che coinvolge l’uso di agente meshcentral e altro malware. Ci sono alcune show che suggeriscono che il compromesso potrebbe essere avvenuto già il 30 marzo.
La società di sicurezza informatica ha dichiarato di aver visto gli sforzi di sfruttamento rivolti a quattro host distinti da quattro numerous società fino advert oggi, aggiungendo che tre delle persone interessate sono state ospitate dallo stesso fornitore di servizi gestiti (MSP). I nomi delle società colpite non sono stati divulgati, ma appartengono a settori di advertising and marketing, vendita al dettaglio e semiconduttori.
È stato scoperto che gli attori delle minacce armonizzano l’accesso per installare software program desktop remoto legittimo come AnyDesk e Meshagent, prendendo anche provvedimenti per raccogliere le credenziali in almeno un istanza.
Dopo aver distribuito Meshagent, si cube che gli aggressori abbiano aggiunto un utente non addmin (“Crushuser”) al gruppo di amministratori locali e consegnato un altro binario C ++ (“d3d11.dll”), un’implementazione della libreria open supply Tgbot.
“È probabile che gli attori delle minacce stiano facendo uso di un bot di telegramma per raccogliere la telemetria da ospiti infetti”, hanno affermato i ricercatori di Huntress.
Dal 6 aprile 2025, ci sono 815 istanze senza patch Vulnerabile al difetto, con 487 di loro situati in Nord America e 250 in Europa. Alla luce dello sfruttamento attivo, le agenzie Federal Civil Government Department (FCEB) sono tenute advert applicare le patch necessarie entro il 28 aprile per garantire le loro reti.
