CrushFTP の深刻なゼロデイ CVE-2025-54309 が FIX：シンプルな攻撃経路と PoC の登場

CrushFTP Hit by Critical 0-Day RCE Vulnerability – Full Technical Details and PoC Published

2025/07/31 gbhackers — 人気のファイル転送サーバ・ソリューション CrushFTP に、深刻なゼロデイ脆弱性が存在することを、セキュリティ研究者たちが明らかにした。この脆弱性を悪用する攻撃者は、認証を必要とせずに、影響を受けるシステム上で任意でのコマンド実行の可能性を得る。この脆弱性 CVE-2025-54309 (CVSS：9.8) は、脆弱な CrushFTP システムを使用する組織にとって、差し迫った脅威となっている。

認証バイパスによるシステムの完全な侵害

この脆弱性は、CrushFTP の DMZ プロキシ実装における、根本的なセキュリティ欠陥に起因する。通常において、パブリック・インターネットと社内管理サーバの間の保護バリアとして、この DMZ プロキシは機能する。しかし、この脆弱性を悪用する攻撃者は、細工した HTTP POST リクエストを /WebInterface/function/ エンドポイントに送信することで、認証を完全にバイパスできる。

セキュリティ研究者たちは、「この脆弱性により、サーバは認証されていないリクエストを誤って処理し、基盤となるオペレーティング・システム上での、ダイレクトなコマンド実行権限を攻撃者に与える」と説明している。

影響を受けるシステムに対する管理者権限での即時アクセスが、この挙動により可能になるため、想定し得る脆弱性の中でも、最も深刻な部類に該当するという。主な悪用方法は、XML-RPC (XML Remote Procedure Call) を用いて、system.exec 関数をリモートで実行する手順となる。

この攻撃では、サーバが適切な認証検証を行わないため、悪意の XML ペイロードが送信される。典型的な攻撃ペイロードは、以下の通りである。

<?xml version="1.0"?>
<methodCall>
  <methodName>system.exec</methodName>
  <params>
    <param><value><string>id</string></value></param>
  </params>
</methodCall>

このペイロードを、脆弱なサーバが受信すると、指定されたコマンドを実行し、その出力を攻撃者に返す。この挙動により、事実上のリモート・シェル・インターフェイスが提供される。

実環境への影響が証明する PoC エクスプロイト

研究者たちは、GitHub 上に完全な PoC エクスプロイトを公開した。このエクスプロイトで実証されるのは、ダイレクトなコマンド実行／ログインフォームを介したコマンド・インジェクション／不正ファイル・アップロードといった複数の攻撃ベクターである。

この PoC スクリプトは、偵察機能および各種のペイロード・オプションを備えている。基本的なエクスプロイトは、以下のコマンドで実行可能である。

python3 exploit.py 192.168.1.100 -c "uname -a"

このスクリプトは、ログイン・パラメータを介したコマンド・インジェクションなどの、他の攻撃手法にも対応している。

python3 exploit.py 192.168.1.100 -p cmd_inject -c "whoami"

この手法では、admin';whoami;# などのペイロードを用いた、ユーザー名フィールドへのコマンドの挿入により、SQL インジェクションに似た脆弱性の悪用も可能である。

この脆弱性の CVSS スコアが高いのは、(1) 認証が不要／(2) 完全なリモート・アクセスが可能／(3) システムへの完全侵入が可能という、三つの要素を満たしているからである。

したがって、インターネット上の任意の場所から、この脆弱性を悪用する攻撃者は、機密データの窃取／マルウェアのインストール／新たなネットワーク・リソースへの不正アクセスなどを達成するとされる。

CrushFTP を利用するユーザー組織にとって必要なことは、提供されているパッチを速やかに適用し、ネットワーク・レベルでの保護策を実装し、脆弱なエンドポイントへの不正アクセスを防止することである。

前述の実用的なエクスプロイト・コードの公開により、修復作業の緊急性は一層高まっている。

なお、この脆弱性に関しては、情報が公開される前に、すでに悪用されていた可能性もあるため、システム管理者は、徹底的なセキュリティ評価を実施し、侵害の兆候を検出すべきである。

CrushFTP の脆弱性は、DMZ プロキシの設計ミスが原因で、認証されていないリクエストを誤って処理してしまうようです。HTTPリクエストの取り扱いが甘く、XML-RPC 経由で任意のコマンドが実行できてしまう仕組みに問題があると、この記事は報じています。PoC も提供されていますので、ご利用のチームは、ご注意ください。よろしければ、CrushFTP で検索も、ご参照ください。