【安全资讯】CrushFTP关键认证绕过漏洞现已被攻击者利用

概要：

近期，CrushFTP文件传输软件被发现存在一个关键的认证绕过漏洞（CVE-2025-2825），攻击者利用公开的概念验证代码对该漏洞进行攻击。该漏洞允许远程攻击者在未修补的CrushFTP v10或v11软件上获得未经认证的访问权限，给用户带来了严重的安全隐患。

主要内容：

CrushFTP在3月21日向客户发出警告，敦促他们尽快修补该漏洞。该漏洞的存在意味着暴露的HTTP(S)端口可能导致未经认证的访问。对于无法立即更新的管理员，CrushFTP建议启用DMZ（非军事区）选项以保护其服务器，直到能够进行补丁更新。

一周后，安全监测平台Shadowserver报告称，其蜜罐系统检测到针对暴露在互联网上的CrushFTP服务器的多次攻击尝试，发现超过1500个易受攻击的实例仍然在线。Shadowserver指出，攻击者正在利用公开的PoC代码进行攻击，显示出该漏洞的严重性和广泛性。

此外，CrushFTP的文件传输产品一直是勒索软件团伙的主要目标，特别是与Clop相关的攻击，后者曾利用零日漏洞进行数据盗窃。去年，CrushFTP曾修补过一个被积极利用的零日漏洞（CVE-2024-4040），该漏洞允许未经认证的攻击者下载系统文件，显示出CrushFTP在网络安全领域的脆弱性。随着攻击者不断寻找新的攻击途径，用户必须高度重视并及时修补安全漏洞，以保护其数据安全。