ISGroup Conseil en Cybersécurité

Contournement d’authentification critique dans CrushFTP (CVE-2025-31161)

La CVE-2025-31161 est une vulnérabilité critique activement exploitée dans la nature, qui a attiré une attention considérable en raison de sa gravité et de la large utilisation de CrushFTP dans les environnements d’entreprise. La vulnérabilité affiche un score CVSS de 9.8, soulignant sa faible complexité et son impact élevé.

ProduitCrushFTP
Date15/04/2025 15:17:47
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

La CVE-2025-31161 affecte les versions de CrushFTP de 10.0.0 à 10.8.3 et de 11.0.0 à 11.3.0. Elle provient d’une implémentation défectueuse de l’authentification de style S3 dans la fonction loginCheckHeaderAuth().

La vulnérabilité est enracinée dans l’utilisation inappropriée d’un drapeau booléen appelé lookup_user_pass. Ce drapeau — destiné à déterminer si le serveur doit utiliser un mot de passe stocké ou un mot de passe fourni dans une requête — est transmis en aval sous le nom anyPass au gestionnaire d’authentification. Lorsque anyPass est défini sur true, la validation du mot de passe est complètement ignorée.

Un attaquant peut exploiter cette vulnérabilité en envoyant une requête spécialement conçue avec :

  • Un en-tête Authorization structuré comme suit :
    Authorization: AWS4-HMAC-SHA256 Credential=crushadmin/
  • Un cookie CrushAuth au format :
    CrushAuth=1743113839553_vD96EZ70ONL6xAd1DAJhXMZYMn1111
  • Un paramètre c2f qui correspond aux 4 derniers caractères du cookie.

En raison d’une logique de validation défaillante (par exemple, analyse uniquement jusqu’au slash / dans le champ Credential= et absence de vérification de la signature), l’attaquant peut contourner l’authentification et obtenir un accès complet au serveur. Cela inclut la possibilité de :

  • Visualiser et exfiltrer des fichiers sensibles
  • Télécharger des fichiers malveillants
  • Créer ou modifier des comptes administrateurs
  • Compromettre totalement le serveur CrushFTP et se déplacer latéralement au sein de l’infrastructure interne

Recommandations

CrushFTP a publié des versions corrigées 10.8.4+ et 11.3.1+ qui rectifient la logique d’authentification et empêchent ce contournement. Il est fortement conseillé à tous les administrateurs utilisant des versions affectées de procéder immédiatement à la mise à jour.

En attendant, envisagez de :

  • Bloquer l’accès à l’interface de CrushFTP depuis des réseaux non approuvés
  • Analyser les journaux (logs) à la recherche d’accès suspects utilisant des en-têtes de style S3
  • Utiliser le modèle de détection Nuclei fourni par ProjectDiscovery pour scanner les instances vulnérables

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *