Pesquisadores de segurança confirmaram a ocorrência de muitas tentativas de exploração visando uma vulnerabilidade crítica de desvio de autenticação no CrushFTP (CVE-2025-2825), logo após o lançamento público do código de exploração de prova de conceito. Com base nos dados de monitoramento mais recentes da Shadowserver Foundation, aproximadamente 1.512 instâncias não corrigidas permanecem vulneráveis globalmente em 30 de março de 2025, com a América do Norte hospedando a maioria (891) desses servidores expostos.
Leia também
CrushFTP alerta sobre falha crítica
CrushFTP vulnerável expõe servidores online
A vulnerabilidade, que tem uma pontuação CVSS de 9,8, afeta as versões 10.0.0 a 10.8.3 e 11.0.0 a 11.3.0 do CrushFTP.
Divulgado pela primeira vez em 26 de março de 2025, ele permite que invasores remotos não autenticados ignorem a autenticação por meio de uma solicitação HTTP especialmente criada, o que pode levar ao comprometimento total do sistema. “Estamos observando tentativas de exploração do CrushFTP CVE-2025-2825 com base no código de exploração PoC disponível publicamente”, informou a Shadowserver Foundation em post no X/Twitter. “Vemos cerca de 1.800 instâncias sem patch no mundo todo, com mais de 900 nos EUA.”
Pesquisadores de segurança do ProjectDiscovery publicaram uma análise detalhada revelando como os invasores podem explorar a vulnerabilidade usando um processo relativamente simples de três etapas:
O ataque aproveita três componentes críticos:
- Um cabeçalho AWS falsificado que explora o tratamento do protocolo S3 do CrushFTP com o nome de usuário padrão “crushadmin”
- Um cookie fabricado com um valor CrushAuth específico de 44 caracteres
- Manipulação de parâmetros usando o parâmetro c2f para ignorar verificações de senha
A vulnerabilidade decorre de uma lógica de autenticação falha ao processar solicitações no estilo S3, onde o sistema aceita incorretamente a credencial “crushadmin/” como válida sem a verificação adequada da senha.
Os dados mais recentes do painel de monitoramento do Shadowserver mostram que a Europa hospeda o segundo maior número de instâncias vulneráveis, com 490, seguida pela Ásia (62), Oceania (45) e América do Sul e África, com 12 instâncias cada.
