New CrushFTP 0-Day Vulnerability Exploited in the Wild to Gain Access to Servers
2025/07/19 CyberSecurityNews — CrushFTP ファイル転送プラットフォームに存在する、深刻なゼロデイ脆弱性 CVE-2025-54309 の詳細が公表された。その背景にあるのは、2025年7月18日午前9時 (CST) 以降において、ベンダーやアナリストたちが確認した、この脆弱性の活発な悪用である。この脆弱性 CVE-2025-54309 の悪用に成功した未承認の攻撃者は、HTTPS 経由で脆弱なサーバを侵害し、その管理権限を完全に奪うという。すでに CrushFTP は、7月1日頃にリリースしたビルドにより、この問題を修正している。しかし、アップデートが遅れている数千の組織は、依然として潜在的な攻撃対象となっている。
ゼロデイ脆弱性の悪用手口
この夏の初めに、今回の件とは無関係な AS2 バグを修正した CrushFTP のエンジニアたちは、その過程で不完全な検証ロジックを発見し、CVE-2025-54309 として対処した。その一方で、このコード差分を分析した攻撃者たちは、変更点をリバース・エンジニアリングし、悪意ある HTTP(S) リクエストを用いることで、意図された制御を迂回する手法を発見した。
DMZ プロキシ機能が実装されていない場合において、このエクスプロイトにより攻撃者に付与されるのは管理者権限となる。それは事実上の “God-mode” セッションであり、新規ユーザーの作成/データ窃取に加えて、エンタープライズ・ネットワーク内での横方向の移動も可能にするものだ。
この脆弱性に対する Rapid7 と Tenable の評価は、CVSS v3.1 スケールで 9.0+ となっているが、その理由は、ネットワーク・ベクター/ゼロクリック性/ホスト全体への侵害の可能性などにあるという。
CrushFTP の脆弱性に関する情報が公開されてから数時間以内に、Shadowserver のハニーポットがエクスプロイト試行を記録し始めた。このような展開は、認証バイパスの脆弱性 CVE-2025-31161 に対して 2025年春に発生した、大規模スキャン活動を思い出させるものである。
影響を受けるバージョン
| Product branch | Safe build or newer | Status before patch | Notes |
|---|---|---|---|
| CrushFTP 11 | 11.3.4_23 | < 11.3.4_23 | 11.3.4_26 is current “fast-fix” roll-up |
| CrushFTP 10 | 10.8.5 | < 10.8.5 | 10.8.5_12 released 18 July |
適切に構成された CrushFTP DMZ インスタンスをベースとしたインストール環境では、攻撃経路の遮断が可能と考えられている。しかし、長期的な防御戦略として、このアーキテクチャのみに依存すべきではないと、Rapid7 は警告を発している。
侵害の兆候 (IOC)
管理者にとって必要なことは、以下の指標に対する速やかな調査である。
users/MainUsers/default/user.XMLにおける予期しない<last_logins>定型文、あるいは、最近のタイムスタンプの存在。- 管理者権限を持つ新規ユーザーであり、かつ、高エントロピーなユーザー名 (例:7a0d26089ac528941bf8cb998d97f408m)。
- エンドユーザー・ポータルにおける UI 要素の欠落現象や、通常アカウントにおいて突然に “Admin” ボタンが表示される現象。
- データ・ステージングを示唆する異常な送信トラフィック・パターン。
いくつかのログを分析した結果によると、過去の CrushFTP キャンペーンで使用されたスクリプトを、攻撃者は再利用しているようだ。それにより、ユーザーを迅速に作成し、それに続いて、大量のファイル・ダウンロードやリモートシェル・ドロップを試みている。
推奨される対応
- 速やかなパッチ適用:ヴァージョン 11.3.4_23/10.8.5 以降へとアップグレードし、将来のリリースに対する自動更新を有効化すべきである。
- デフォルト復元:侵害が疑われる場合には、7月16日以前のバックアップからデフォルト・ユーザーを復元し、不正アカウントの削除を試行すべきである。
- 転送の監査:7月16日〜18日の、アップロード/ダウンロードのレポートを精査し、不審なアクティビティを特定すべきである。
- アクセス制限の強化:管理者および Web インターフェイスに対する IP アドレス範囲を限定し、MFA/HTTPS のみのアクセスを義務付け、可能であれば DMZ プロキシを導入すべきである。
- 継続的監視:ベンダー/CERT のアドバイザリをサブスクライブし、Rapid7/Tenable による IDS シグネチャを活用することで、脆弱性 CVE-2025-54309 に関するトラフィックに対応すべきである。
過去15か月間で3件目の重大ゼロデイ
VFS サンドボックス・エスケープの脆弱性 CVE-2024-4040、および、AWS4-HMAC の競合状態によるバイパスの脆弱性 CVE-2025-31161 に続き、今回の脆弱性 CVE-2025-54309 が明らかになった。この 15か月間において、CrushFTP で発見された深刻なゼロデイ脆弱性は、これで3件目となる。
これらの脆弱性は、MOVEit/GoAnywhere MFT/Accellion FTA などで発生した、サプライチェーン侵害を彷彿とさせるものである。それが浮き彫りにするのは、ランサムウェア・グループやスパイ活動家にとって、ファイル転送サービスが魅力的な標的であることだ。
Shodan のインデックスによると、CrushFTP インスタンス 5,000件以上がオンライン状態にあるという。2024年初頭のデータでは、重要なアドバイザリ発行から数週間経過した後であっても、少なくとも 1,400件がパッチ未適用の状態を引きづっていたという。
今後のリスクと注意点
この脆弱性に対して、PoC エクスプロイトが公開される可能性は高く、今後の数日間において日和見的な大規模キャンペーンが登場する可能性があると、アナリストたちは警告している。
CrushFTP のビルド 11.3.4_26 の迅速なリリースにより、当面の脅威は軽減されるだろう。しかし、ファイル転送アプライアンスを、”設定して放置する” ユーティリティとして運用している企業は、依然としてリスクに直面し続ける。
いつものように、繰り返し求められるのは、パッチ管理/ネットワーク・セグメンテーション/詳細なログ・レビューとなる。
なお、現時点でアップグレードを行っていない組織にとって、最も安全な対策となるのは、バックアップからの侵害復旧/認証情報のローテーション/潜在的なインシデント対応調査などの準備である。
CrushFTP のゼロデイ脆弱性についての解説と、すでに実際に悪用が始まっているという警告を、伝える内容となっています。特に、管理者権限の奪取につながるリスクが気になります。ごりようのチームは、十分に ご注意ください。よろしければ、FTP で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.