CrushFTP认证绕过漏洞(CVE-2025-2825)风险提示
漏洞情况
CrushFTP是一款多协议文件传输服务器,支持FTP、SFTP、WebDAV和HTTP/S等协议。在2025年3月,安全研究人员发现其实现的S3兼容API存在严重的认证绕过漏洞(CVE-2025-2825),这个漏洞的CVSS评分高达9.8分(危急级别),允许未授权的攻击者以任意用户(包括管理员)身份访问系统,它影响了CrushFTP的多个版本(10.0.0至10.8.3和11.0.0至11.3.0)。
通过网络空间搜索/网络资产测绘引擎可以知道,很多有安全风险的机器还暴露在互联网上。
目前,已通过实验环境已经复测该漏洞危害:
该安全风险发生的原因是什么呢?
使用cfr反编译jar包后分析可知,这个漏洞的关键在于CrushFTP处理AWS S3认证头的逻辑中,一个名为lookup_user_pass
的布尔值参数被错误地用于两个不同地方:
-
1. 决定是否需要从存储中查找用户密码 -
2. 同时作为 anyPass
参数传递给验证函数,决定是否完全跳过密码验证 -
由于本文仅作安全风险提示和检测防御的提示,此处省略漏洞细节
漏洞修复方案
目前官方已有可更新版本,建议受影响用户升级至最新版本:
-
• CrushFTP 10.* >= 10.8.4 -
• CrushFTP 11.* >= 11.3.4
官方补丁下载地址:
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
CrushFTP在11.3.1版本中修复了这个漏洞,主要包括以下几点:
-
1. 添加了新的安全参数 s3_auth_lookup_password_supported
(默认设为false
) -
2. 在可能导致绕过的路径上添加了安全检查:
if (!ServerStatus.BG("s3_auth_lookup_password_supported")) {return; // 提前退出,阻止漏洞利用}
-
3. 重构了认证流程,正确实现了 lookup_user_pass
的预期行为
检测与防护建议
如果你正在使用CrushFTP,可以使用Nuclei来检测您的环境中是否存在该漏洞风险:
若有该安全漏洞,可以通过日志取溯源追踪被入侵的情况。
但是如果未启用详细日志记录(默认设置为“0”),服务器将不会记录S3认证是否被使用。
POST|04/03/2025 02:21:47.350|[HTTP:5_40842:crushadmin:192.168.42.130] WROTE: *HTTP/1.1 200 OK*
从未设置详细日志记录来说,检测这些IOC是一定难度的,比较好的检测方法是建立好的IP名单机制,通过威胁情报识别恶意IP或分析陌生IP的用户账户流量、行为。
如果启用了详细日志记录(设置为“2”),CrushFTP.log文件和日志中将包含Authorization头和值。例如:
READ: Authorization: AWS4-HMAC-SHA256 Credential=crushadmin/
从启用了详细日志记录来说,该漏洞攻击相关内容比较容易检测到,因为数据包中缺乏有效的签名或完整的AWS资源标识符。但攻击者可能会伪造有效的完整AWS认证头
Authorization: AWS4-HMAC-SHA256 Credential=<AccessKey>/<Date>/<Region>/s3/aws4_request, SignedHeaders=<Headers>, Signature=<Signature>)
从而绕过认证,甚至可能针对非默认的“crushadmin”管理员账户发起攻击。
所以需要检查日志中是否有可疑的Authorization头,任何包含“AWS4-HMAC-SHA256”的日志记录都需要警惕,特别是与一些敏感操作的Authorization头就需要被看作是入侵标志。
总结
总之,发现有安全问题后,可以升级到最新的安全版本(如V11.3.1),实施适当的 DMZ 功能,且做好相关的日志记录和保存,便于检测和追踪情况。
在设计安全系统时,保持关注点分离至关重要,一个看似微小的参数复用问题,就可能如此严重的安全漏洞。对开发者来说,在安全关键代码中,参数的用途应该清晰明确,特别是在实现多协议认证系统时,必须确保所有路径上的验证逻辑一致且严格。
安全无小事,愿你的系统永远坚不可摧!
参考:
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
https://www.rapid7.com/blog/post/2025/03/25/etr-notable-vulnerabilities-in-next-js-cve-2025-29927/
社区交流订阅:
原文始发于微信公众号(哆啦安全):CrushFTP存在认证绕过漏洞(CVE-2025-2825)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论