CrushFTP の脆弱性 CVE-2025-54309:新たな PoC エクスプロイトが公開

PoC Exploit Released for CrushFTP 0-day Vulnerability (CVE-2025-54309)

2025/08/27 CyberSecurityNews — CrushFTP ファイル転送サーバに影響を及ぼす、深刻な認証バイパスの脆弱性 CVE-2025-54309 を標的とする PoC エクスプロイトが公開された。この脆弱性を悪用するリモート攻撃者は、AS2 検証処理における競合状態を介して管理者権限を取得し、認証メカニズムを完全に回避できる。

主なポイント
  • 競合状態エクスプロイトにより、攻撃者は CrushFTP の認証をバイパスできる。
  • GitHub で公開されている PoC では、バックドアを追加せずに、脆弱なインスタンスを検証できる。
  • ユーザーに推奨されるのは、アップグレードの実施/DMZ プロキシの有効化/POST トラフィック急増の監視である。

この脆弱性は、DMZ プロキシ機能が無効化されている、CrushFTP バージョン 10.8.5 未満/11.3.4_23 未満に影響するものであり、2025年7月以降において悪用されている。このコンフィグは、エンタープライズ環境に導入されているインスタンスの、大部分に対して適用されているものだ。

CrushFTP のゼロデイ脆弱性

2025年7月18日に公開されたベンダーの事後分析によると、CrushFTP インスタンスが積極的に攻撃されているが、未公開のサイレント・パッチを、ユーザーが適用していなかったことに原因があるという。

それにより、AS2 検証の不適切な処理を悪用する攻撃者は、オンラインで公開されている 30,000 を超えるインスタンスに対して、HTTPS 経由で管理者権限を取得できる状態にあった。

PoC Exploit Released for CrushFTP 0-day Vulnerability

具体的には、この脆弱性は “/WebInterface/function/” エンドポイントに存在し、2つの連続する HTTP POST リクエストにより、セッションが競合状態に陥る。

したがって攻撃者は、リクエスト1 (AS2-TO: \crushadmin ヘッダー付き) を送信した直後に、リクエスト2 (ヘッダー省略、同一セッションクッキー再利用) を送信することで競合を引き起こし、ビルトインされている crushadmin ユーザーを偽装することで setUserItem を呼び出し、新しい管理者アカウントを作成できる。その結果として “404” が返されるが、高度なコンカレント環境では、リクエスト2が “200 OK” レスポンスを返し、管理者ユーザーの作成を確定させる。

Risk FactorsDetails
Affected ProductsCrushFTP 10 versions before 10.8.5
CrushFTP 11 versions before 11.3.4_23
ImpactAuthentication bypass, Remote code execution
Exploit PrerequisitesDMZ proxy feature disabled;ability to send sequential HTTPS POST requestsValid CrushAuth and currentAuth cookies
CVSS 3.1 Score9.8 (Critical)
PoC エクスプロイト

WatchTower Labs が GitHub で公開したのは、完全に機能する PoC エクスプロイトである。それにより、セキュリティ・チームは、永続的なバックドアを追加することなく、脆弱な CrushFTP インスタンスを検証できる。この PoC では、ユーザー・リストを抽出するだけでエクスプロイトの確認が可能となっている。

PoC Exploit Released for CrushFTP 0-day Vulnerability

さらに研究者たちが推奨するのは、”/WebInterface/function/” への POST リクエストにおいて、反復的な AS2-TO と Cookie を伴うパターンの急増の監視である。セキュリティ・チームは、この競合状態に一致する侵入検知シグネチャを導入し、ネットワーク・レート制限を実施することで、高頻度のエクスプロイト試行を軽減すべきである。

緩和策
  • CrushFTP 10.8.5/11.3.4_23 以降へのアップグレード。
  • DMZ プロキシ機能が未設定の場合は有効化する。
  • 管理ユーザーの追加を監査し、セッション再利用パターンを検証する。

CrushFTP を利用するユーザー組織にとって必要なことは、CVE-2025-54309 を深刻なリスクとして扱い、悪用可能な脆弱性から迅速に防御することである。

CrushFTP で発見された、深刻な認証バイパスの脆弱性について説明する記事であり、その原因は、AS2 検証処理における競合状態の扱いに不備があったと述べています。攻撃者は、特定の連続した HTTP POST リクエストを送信し、セッションを競合させることで、管理者の権限を取得できると、この記事は指摘しています。なお、この脆弱性に関しては、2025/07/31 に「CrushFTP の深刻なゼロデイ CVE-2025-54309 が FIX:シンプルな攻撃経路と PoC の登場」という記事をポストしていますが、そのときと比べて、有用性の高い PoC がリリースされたようです。よろしければ、CrushFTP で検索も、ご参照ください。