CVE-2025-2825: Critical Vulnerability in CrushFTP Exposes Servers to Unauthenticated Access Risk
2025/03/27 SecurityOnline — CrushFTP のバージョン 10/11 に影響を及ぼす、深刻度の高い脆弱性に対するパッチが適用され、管理者たちには速やかな対応が求められている。一般企業/政府機関/ホスティング・プロバイダーなどで多用される、安全なファイル転送プラットフォーム CrushFTP に、新たな脆弱性が発見された。この脆弱性 CVE-2025-2825 (CVSS:9.8) を悪用する未認証の攻撃者は、特別に細工された HTTP リクエストを介して、リモート・アクセスの可能性を手にする。
この問題は、CrushFTP のバージョン 10.0.0 ~ 10.8.3/11.0.0 ~ 11.3.0 に影響を及ぼす。現時点において、アクティブな悪用の兆候は検出されていないが、CrushFTP の開発者は、「バージョン 10.8.4/11.3.1 以降へと、速やかにアップデートしてほしい」と求めている。
脆弱性 CVE-2025-2825 を悪用する攻撃者は、未認証の HTTP リクエストによる不正アクセスを達成し、機密データや管理機能への不正アクセスの機会を得る。ただし、DMZ 機能が有効化されていると、公開サービスがバックエンド・インフラから分離されるため、この欠陥によるリスクは軽減される。
このパッチの完全な展開の前に、攻撃者が武器化するリスクを軽減するために、技術的な詳細は公開されていない。
2024年4月にも CrushFTP は、ゼロデイ脆弱性 CVE-2024-4040 を修正する、セキュリティ更新プログラムをリリースしている。この脆弱性を積極的に悪用する未認証の撃者が、ユーザーの仮想ファイル システム (VFS) を回避して、システム・ファイルをダウンロードしていたことに留意すべきである。その当時の CISA は、CVE-2024-4040 を KEV カタログに追加し、米国連邦政府機関に対して、1週間以内にネットワーク上の脆弱なサーバを保護するよう命じていた。
CrushFTP のような、セキュア・ファイル転送システムは、ランサムウェア攻撃の標的として価値の高いものになっている。特に、MOVEit Transfer/GoAnywhere MFT/Accellion FTA/Cleo などのゼロデイ脆弱性を悪用して、広範囲にわたるデータ窃取キャンペーンを展開する、Clop などのグループが標的にしている。
今回の脆弱性 CVE-2025-2825 は、CrushFTP ユーザーにとって大きなリスクとなり、機密データへの不正アクセスを許す可能性があるものだ。ファイル転送製品に対する攻撃の歴史と、この脆弱性の重大性を考慮すると、ユーザー組織にとって重要なことは、CrushFTP の最新のセキュア・バージョンへと、速やかにアップデートすることだ。
※訳者注 2025/04/07:この脆弱性 CVE-2025-2825 ですが、CVE-2025-31161 との重複であるとして、NVD では 2025/04/04 付けで “Rejected” となっています。NVD は、「すべての CVE ユーザーは、このレコードではなく CVE-2025-31161 を参照してほしい」としています。
記事中でも触れられているように、CrushFTP のようなファイル転送システムは、ランサムウェア攻撃の標的になりやすい傾向にあります。ご利用のチームは、迅速なアップデートを、ご検討ください。よろしければ、以下の関連記事も、CrushFTP で検索と併せて、ご参照ください。
2024/04/26:CrushFTP の CVE-2024-4040:多数のサーバが露出
2024/04/24:CrushFTP の深刻な脆弱性が CISA KEV に登録
2024/04/22:CrushFTP の脆弱性 CVE-2024-4040 が FIX
2024/04/20:CrushFTP のゼロデイ FIX:標的型攻撃を悪用
IoT OT Security News 
You must be logged in to post a comment.