CrushFTP认证绕过漏洞(CVE-2025-2825)风险提示

漏洞情况

CrushFTP是一款多协议文件传输服务器，支持FTP、SFTP、WebDAV和HTTP/S等协议。在2025年3月，安全研究人员发现其实现的S3兼容API存在严重的认证绕过漏洞（CVE-2025-2825），这个漏洞的CVSS评分高达9.8分（危急级别），允许未授权的攻击者以任意用户（包括管理员）身份访问系统，它影响了CrushFTP的多个版本（10.0.0至10.8.3和11.0.0至11.3.0）。

通过网络空间搜索/网络资产测绘引擎可以知道，很多有安全风险的机器还暴露在互联网上。

目前，已通过实验环境已经复测该漏洞危害：

该安全风险发生的原因是什么呢？

使用cfr反编译jar包后分析可知，这个漏洞的关键在于CrushFTP处理AWS S3认证头的逻辑中，一个名为lookup_user_pass的布尔值参数被错误地用于两个不同地方：

1. 1. 决定是否需要从存储中查找用户密码
2. 2. 同时作为anyPass参数传递给验证函数，决定是否完全跳过密码验证

由于本文仅作安全风险提示和检测防御的提示，此处省略漏洞细节

漏洞修复方案

目前官方已有可更新版本，建议受影响用户升级至最新版本：

• • CrushFTP 10.* >= 10.8.4
• • CrushFTP 11.* >= 11.3.4

官方补丁下载地址： 

https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update

CrushFTP在11.3.1版本中修复了这个漏洞，主要包括以下几点：

1. 1. 添加了新的安全参数s3_auth_lookup_password_supported（默认设为false）
2. 2. 在可能导致绕过的路径上添加了安全检查：

if (!ServerStatus.BG("s3_auth_lookup_password_supported")) {return; // 提前退出，阻止漏洞利用}

1. 3. 重构了认证流程，正确实现了lookup_user_pass的预期行为

检测与防护建议

如果你正在使用CrushFTP，可以使用Nuclei来检测您的环境中是否存在该漏洞风险：

若有该安全漏洞，可以通过日志取溯源追踪被入侵的情况。

但是如果未启用详细日志记录（默认设置为“0”），服务器将不会记录S3认证是否被使用。

POST|04/03/2025 02:21:47.350|[HTTP:5_40842:crushadmin:192.168.42.130] WROTE: *HTTP/1.1 200 OK* 

从未设置详细日志记录来说，检测这些IOC是一定难度的，比较好的检测方法是建立好的IP名单机制，通过威胁情报识别恶意IP或分析陌生IP的用户账户流量、行为。

如果启用了详细日志记录（设置为“2”），CrushFTP.log文件和日志中将包含Authorization头和值。例如：

READ: Authorization: AWS4-HMAC-SHA256 Credential=crushadmin/

从启用了详细日志记录来说，该漏洞攻击相关内容比较容易检测到，因为数据包中缺乏有效的签名或完整的AWS资源标识符。但攻击者可能会伪造有效的完整AWS认证头

Authorization: AWS4-HMAC-SHA256 Credential=<AccessKey>/<Date>/<Region>/s3/aws4_request, SignedHeaders=<Headers>, Signature=<Signature>)

从而绕过认证，甚至可能针对非默认的“crushadmin”管理员账户发起攻击。

所以需要检查日志中是否有可疑的Authorization头，任何包含“AWS4-HMAC-SHA256”的日志记录都需要警惕，特别是与一些敏感操作的Authorization头就需要被看作是入侵标志。

总结

总之，发现有安全问题后，可以升级到最新的安全版本（如V11.3.1），实施适当的 DMZ 功能，且做好相关的日志记录和保存，便于检测和追踪情况。

在设计安全系统时，保持关注点分离至关重要，一个看似微小的参数复用问题，就可能如此严重的安全漏洞。对开发者来说，在安全关键代码中，参数的用途应该清晰明确，特别是在实现多协议认证系统时，必须确保所有路径上的验证逻辑一致且严格。

安全无小事，愿你的系统永远坚不可摧！

参考：

https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Updatehttps://www.rapid7.com/blog/post/2025/03/25/etr-notable-vulnerabilities-in-next-js-cve-2025-29927/