ISGroup Consultoría de Ciberseguridad

Bypass de Autenticación Crítico en CrushFTP (CVE-2025-31161)

CVE-2025-31161 es una vulnerabilidad crítica que está siendo explotada activamente en el mundo real, la cual ha recibido gran atención debido a su gravedad y a la amplia adopción de CrushFTP en entornos empresariales. La vulnerabilidad tiene una puntuación CVSS de 9.8, lo que subraya su baja complejidad y su alto impacto.

ProductoCrushFTP
Fecha2025-04-15 15:17:47
Información
  • Corrección disponible
  • Explotación activa

Resumen técnico

CVE-2025-31161 afecta a las versiones de CrushFTP desde la 10.0.0 hasta la 10.8.3 y desde la 11.0.0 hasta la 11.3.0. Se origina en una implementación defectuosa de la autenticación al estilo S3 en la función loginCheckHeaderAuth().

La vulnerabilidad radica en el uso inadecuado de un indicador booleano llamado lookup_user_pass. Este indicador —destinado a determinar si el servidor debe utilizar una contraseña almacenada o una proporcionada en una solicitud— se transmite posteriormente como anyPass al gestor de autenticación. Cuando anyPass se establece en true, la validación de la contraseña se ignora por completo.

Un atacante puede explotar esta vulnerabilidad enviando una solicitud especialmente diseñada con:

  • Un encabezado Authorization estructurado como:
    Authorization: AWS4-HMAC-SHA256 Credential=crushadmin/
  • Una cookie CrushAuth en el formato:
    CrushAuth=1743113839553_vD96EZ70ONL6xAd1DAJhXMZYMn1111
  • Un parámetro c2f que coincida con los últimos 4 caracteres de la cookie.

Debido a la deficiente lógica de validación (por ejemplo, el análisis solo llega hasta la barra diagonal / en el campo Credential= y no se verifica la firma), el atacante puede omitir la autenticación y obtener acceso total al servidor. Esto incluye la capacidad de:

  • Visualizar y exfiltrar archivos confidenciales
  • Cargar archivos maliciosos
  • Crear o modificar usuarios administradores
  • Comprometer completamente el servidor CrushFTP y moverse lateralmente dentro de la infraestructura interna

Recomendaciones

CrushFTP ha lanzado versiones parcheadas 10.8.4+ y 11.3.1+ que corrigen la lógica de autenticación y previenen este bypass. Se insta encarecidamente a todos los administradores que utilicen versiones afectadas a proceder inmediatamente con la actualización.

Mientras tanto, considere:

  • Bloquear el acceso a la interfaz de CrushFTP desde redes no confiables
  • Analizar los registros (logs) en busca de accesos sospechosos que utilicen encabezados al estilo S3
  • Utilizar la plantilla de detección de Nuclei proporcionada por ProjectDiscovery para escanear las instancias vulnerables

[Callforaction-THREAT-Footer]

In