CISA añade la vulnerabilidad CrushFTP al catálogo KEV tras confirmarse su explotación activa

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ) una falla de seguridad crítica recientemente revelada que afecta a CrushFTP después de que surgieran informes de explotación activa.

La vulnerabilidad es un caso de elusión de autenticación que podría permitir que un atacante no autenticado controle instancias susceptibles. Se ha corregido en las versiones 10.8.4 y 11.3.1.

«CrushFTP contiene una vulnerabilidad de evasión de autenticación en el encabezado de autorización HTTP que permite a un atacante remoto no autenticado autenticarse en cualquier cuenta de usuario conocida o adivinable (por ejemplo, crushadmin), lo que podría conducir a un compromiso total», dijo CISA en un aviso.

A la deficiencia se le ha asignado el identificador CVE-2025-31161 (puntuación CVSS: 9,8). Cabe destacar que la misma vulnerabilidad se había identificado previamente como CVE-2025-2825 , que ahora se ha marcado como Rechazada en la lista CVE.

El desarrollo viene después de que el proceso de divulgación asociado con la falla se haya visto envuelto en controversia y confusión, con VulnCheck, debido a que es una autoridad de numeración CVE (CNA), asignado un identificador (es decir, CVE-2025-2825), mientras que el CVE real (es decir, CVE-2025-31161) había estado pendiente.

Outpost24, a quien se le atribuye la divulgación responsable de la falla al proveedor, intervino para aclarar que solicitó un número CVE a MITRE el 13 de marzo de 2025 y que estaba coordinando con CrushFTP para garantizar que las correcciones se implementaran dentro de un período de divulgación de 90 días.

Sin embargo, no fue hasta el 27 de marzo que MITRE asignó a la falla el CVE CVE-2025-31161, momento en el que VulnCheck había publicado su propio CVE sin contactar previamente a «CrushFTP o Outpost24 para ver si ya estaba en marcha un proceso de divulgación responsable».

VulnCheck, por su parte, ha criticado a MITRE por rechazar CVE-2024-2825 y publicar en su lugar CVE-2025-31161, al tiempo que acusa a CrushFTP de intentar encubrir la vulnerabilidad.

«CrushFTP, LLC publicó un aviso, pero solicitó deliberadamente que no se emitiera un CVE durante 90 días, intentando así ocultar la vulnerabilidad a la comunidad de seguridad y a los defensores», dijo el investigador de seguridad de VulnCheck, Patrick Garrity, en una publicación en LinkedIn.

Lo peor es que MITRE parece haber priorizado su participación en la redacción del informe sobre la divulgación oportuna de una vulnerabilidad que se estaba explotando activamente. Esto sienta un precedente peligroso.

Desde entonces, la empresa sueca de ciberseguridad ha publicado instrucciones paso a paso para activar el exploit sin compartir muchos detalles técnicos.

Generar un token de sesión alfanumérico aleatorio de un mínimo de 31 caracteres de longitud
Establezca una cookie llamada CrushAuth con el valor generado en el paso 1
Establezca una cookie llamada currentAuth en los últimos 4 caracteres del valor generado en el paso 1
Realice una solicitud HTTP GET al destino /WebInterface/function/ con las cookies de los pasos 2 y 3, así como un encabezado de autorización establecido en «AWS4-HMAC=<username>/», donde <username> es el usuario con el que se iniciará sesión (por ejemplo, crushadmin).

Un resultado neto de estas acciones es que la sesión generada al inicio se autentica como el usuario elegido, lo que permite a un atacante ejecutar cualquier comando al que ese usuario tenga derecho.

Huntress, que recreó una prueba de concepto para CVE-2025-31161, afirmó haber observado una explotación in situ de CVE-2025-31161 el 3 de abril de 2025 y haber descubierto actividad posterior a la explotación, que implicaba el uso del agente MeshCentral y otro malware. Hay indicios que sugieren que la vulneración pudo haberse producido incluso el 30 de marzo.

La firma de ciberseguridad afirmó haber detectado intentos de explotación dirigidos a cuatro hosts distintos de cuatro empresas diferentes hasta la fecha, y añadió que tres de los afectados estaban alojados por el mismo proveedor de servicios gestionados (MSP). No se revelaron los nombres de las empresas afectadas, pero pertenecen a los sectores de marketing, comercio minorista y semiconductores.

Se ha descubierto que los actores de amenazas utilizan el acceso para instalar software de escritorio remoto legítimo, como AnyDesk y MeshAgent, al mismo tiempo que toman medidas para recopilar credenciales en al menos una instancia.

Después de implementar MeshAgent, se dice que los atacantes agregaron un usuario no administrador («CrushUser») al grupo de administradores locales y entregaron otro binario C++ («d3d11.dll»), una implementación de la biblioteca de código abierto TgBot .

«Es probable que los actores de amenazas estén utilizando un bot de Telegram para recopilar telemetría de los hosts infectados», dijeron los investigadores de Huntress.

Al 6 de abril de 2025, había 815 instancias sin parchear vulnerables a la falla, 487 de ellas ubicadas en Norteamérica y 250 en Europa. Ante la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches necesarios antes del 28 de abril para proteger sus redes.

Fuente y redacción: thehackernews.com

Informe anual: planes y prioridades para la seguridad de SaaS para 2024

Agente de acceso inicial involucrado en ataques de Log4Shell contra servidores VMware Horizon

Los consumidores atribuyen erróneamente todas las violaciones de datos a los ciberdelincuentes