Forvirring om CrushFTP-sårbarhed fører til øget risiko for udnyttelse

En kritisk sårbarhed i filoverførselstjenesten CrushFTP, som vi omtalte i slutningen af marts, har for nylig været genstand for kontrovers på grund af tidlig offentliggørelse og misforståelser. Sårbarheden, der gør det muligt for angribere at omgå autentificering og få adgang til CrushFTP-servere via eksponerede HTTP(S)-porte, har nu – og efter et par ugers venten – endelig fået tildelt et id-nummer, nemlig CVE-2025-2825. Det skriver Dark Reading.

At sårbarheden blev afsløret tidligere end planlagt af en tredjepart gjorde, at der ikke var et offentligt kendt CVE-nummer, endsige en CVSS-score. Dette førte ifølge Dark Reading til forvirring og øget risiko for udnyttelse. Uden et CVE-nummer kan systemadministratorer og andre brugere af løsningen ikke fremsøge fejlen og få adgang til opdateringerne. I al fald ad officielle kanaler. Derfor er der uklarhed og risiko for, at brugere ikke tager sårbarheden alvorligt og opdaterer i henhold til anbefalingerne. 

Men det skal man nok gøre, for det det er ikke usandsynligt, at trusselsaktører vil forsøge sig, da CVSS-scoren er oppe at ringe på 9,8 pga. af dens nemme mulighed for udnyttelse.

PoC-exploit offentliggjort

Shadowserver Foundation rapporterede den 31. marts, at der var 1.512 sårbare CrushFTP-instanser, og at der var observeret udnyttelsesforsøg ved hjælp af en proof-of-concept (PoC) exploit, der var blevet offentliggjort få dage tidligere. 

Brugere af CrushFTP opfordres til at opdatere deres systemer til de nyeste versioner for at beskytte mod potentielle angreb. Det anbefales også at aktivere DMZ-funktionen i CrushFTP som en yderligere sikkerhedsforanstaltning¸ fremgår det af omtalen. 

Det skal dog nævnes, at hvis man kun har DMZ delen af CrushFTP sat op og det er aktivt, så er man ikke sårbar overfor dette angreb.