innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

CrushFTP脆弱性が悪用継続中 – 開示論争の陰で企業データが危険に

CrushFTP脆弱性が悪用継続中 - 開示論争の陰で企業データが危険に - innovaTopia - (イノベトピア)

Last Updated on 2025-04-10 11:50 by admin

CrushFTPのファイル転送ソフトウェアにおける重大な認証バイパスの脆弱性(CVE-2025-31161)が現在も悪用され続けています。この脆弱性は、未認証の攻撃者がHTTP(S)ポートを介して脆弱なCrushFTPインスタンスに管理者権限でアクセスすることを可能にします。

この脆弱性は2025年3月13日にOutpost24によって発見され、MITREにCVE番号の発行を依頼しました。CrushFTPは3月21日に顧客に電子メールで通知し、同日セキュリティアドバイザリを公開してバージョン11.3.1へのアップデートを促しました。

しかし、その後VulnCheckが3月26日に同じ脆弱性に対して別のCVE番号(CVE-2025-2825)を割り当てたことで混乱が生じました。MITREは3月27日に公式のCVE番号(CVE-2025-31161)を割り当て、4月4日にはCVE-2025-2825を拒否リストに入れました。

セキュリティベンダーのHuntressによると、3月30日という早い段階から悪用の証拠が発見されており、4月3日には本格的な攻撃活動を確認しました。Shadowserver Foundationのデータによれば、3月30日時点で約1,500台の脆弱なCrushFTPインスタンスがインターネット上に公開されていました。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は4月7日、この脆弱性を「既知の悪用された脆弱性」カタログに追加しました。

CrushFTPのCEOであるBen Spinkによると、攻撃活動は4月1日から4月3日の間にピークに達したが、現在も継続中です。影響を受けるバージョンは10.0.0から10.8.3および11.0.0から11.3.0で、ユーザーはバージョン10.8.4以降または11.3.1以降にアップデートすることが推奨されています。

Huntressは4月7日に、脅威アクターが脆弱なCrushFTP(バージョン10)インスタンスを悪用して、永続性メカニズムとしてSimpleHelp RMMをインストールしているのを観察したと報告しています。

from:CrushFTP Exploitation Continues Amid Disclosure Dispute

【編集部解説】

CrushFTPの認証バイパス脆弱性をめぐる今回の事案は、サイバーセキュリティ業界における脆弱性開示のプロセスと、その後の対応に関する重要な教訓を含んでいます。

まず注目すべきは、この脆弱性の深刻度です。CVSS(共通脆弱性評価システム)スコア9.8という最高レベルの危険度が示すように、この認証バイパスの脆弱性は、攻撃者が特別に細工したHTTPリクエストを送信するだけで、管理者権限を含む任意のユーザーとして認証なしでシステムにアクセスできるというものです。特に多くのユーザーが推奨設定のまま「crushadmin」というデフォルトの管理者アカウントを使用している場合、攻撃の成功率は非常に高くなります。

この脆弱性の技術的な詳細を見ると、AWS4-HMAC-SHA256認証メソッドにおけるレースコンディション(特定のタイミングで処理が競合する状態)が問題の根本にあります。Outpost24の分析によれば、サーバーは内部認証メカニズムに対して、パスワードなしでユーザー認証を要求することで、一時的にセッションを認証状態にします。通常は不正な認証データが検出されるとセッションが無効化されますが、特殊な方法でAuthorizationヘッダーを改ざんすることで、セッション無効化前にエラーで処理を終了させ、認証状態を維持することができます。

今回の事案で特に興味深いのは、脆弱性開示プロセスにおける混乱です。Outpost24が3月13日に脆弱性を発見し、CrushFTPと90日間の非公開期間に合意していたにもかかわらず、VulnCheckが別のCVE番号(CVE-2025-2825)を割り当てて公開したことで、早期の技術情報漏洩と攻撃の加速につながりました。

この事例は、セキュリティ研究者、ベンダー、CVE割り当て機関の間の連携の重要性を浮き彫りにしています。脆弱性情報の公開タイミングは、ユーザーが適切に対策を講じる時間を確保することと、透明性を保つことのバランスが非常に重要です。

実際の影響としては、Shadowserver Foundationのデータによれば、3月30日時点で約1,500台の脆弱なCrushFTPインスタンスがインターネット上に公開されていました。これらのシステムは、特にファイル転送製品がランサムウェアギャングの標的になりやすいことを考えると、非常に危険な状態にあります。

ファイル転送ソフトウェアが攻撃者にとって魅力的な標的である理由は明白です。これらのシステムは通常、インターネットに公開されており、企業の機密データを扱うことが多いためです。実際、2023年にはClopランサムウェアがProgress SoftwareのMOVEit Transfer製品のゼロデイ脆弱性を利用して2,000以上の組織を侵害したという事例があります。

企業のITセキュリティ担当者にとって、この事例から学ぶべき教訓は明確です。まず、セキュリティアップデートが公開されたら速やかに適用することの重要性です。また、デフォルト設定や推奨ユーザー名をそのまま使用することのリスクも認識すべきでしょう。

さらに、ファイル転送ソリューションのようなインターネット公開サービスには、多層防御アプローチを適用することが重要です。CrushFTPの場合、DMZペリメーターネットワークオプションを有効にするという回避策が提供されていますが、これは一時的な対策にすぎません。

長期的な視点では、このような事例が増えるにつれて、脆弱性開示のベストプラクティスがさらに進化していくことが予想されます。また、企業のセキュリティチームは、パッチ管理プロセスの効率化と自動化にますます注力する必要があるでしょう。

最後に、この事例はサイバーセキュリティにおける「時間との競争」の重要性を示しています。脆弱性が公開されてから攻撃が始まるまでの時間はわずか数日であり、企業がセキュリティアップデートを適用するための「猶予期間」は急速に短くなっています。このような状況下では、セキュリティ対策の迅速さと効率性が、企業のデジタル資産を守る鍵となるでしょう。

【用語解説】

CrushFTP:
ファイル転送サーバソフトウェアで、FTPS、SFTP、HTTPSなどの安全なプロトコルをサポートし、企業のファイル共有に利用される。

認証バイパス脆弱性:
本来必要な認証プロセスを回避して、システムに不正アクセスできる脆弱性。

CVE (Common Vulnerabilities and Exposures):
公開された情報セキュリティの脆弱性や露出に関する共通識別子。

CVSS (Common Vulnerability Scoring System):
脆弱性の深刻度を数値化する評価システム。9.8というスコアは「非常に危険」を意味する。

CISA (Cybersecurity and Infrastructure Security Agency):
米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁。国のデジタルインフラを守る組織。

PoC (Proof of Concept):
概念実証。理論上の脆弱性が実際に悪用可能であることを証明するコード。

DMZペリメーターネットワーク:
内部ネットワークと外部ネットワークの間に設置される緩衝地帯。城の堀のような役割を果たす。

AWS4-HMAC-SHA256:
Amazonのウェブサービス(AWS)で使用される認証メカニズム。リクエストの署名と検証に使用される。

レースコンディション:
複数の処理が同時に実行される際に、処理の順序によって結果が変わる状態。タイミングに依存した脆弱性の一種。

【参考リンク】

CrushFTP(外部)
エンタープライズグレードのファイル転送サーバを提供する企業。多様なセキュリティ機能と柔軟なカスタマイズが特徴。

Outpost24(外部)
サイバーセキュリティとリスク管理ソリューションを提供する企業。2001年設立、スウェーデンと米国に本社を持つ。

VulnCheck(外部)
脆弱性インテリジェンスサービスを提供する企業。脆弱性データベースの拡充とCVE番号の割り当てを行う。

Huntress(外部)
マネージドセキュリティサービスを提供する企業。今回のCrushFTP脆弱性の悪用を検出し報告した。

【編集部後記】

この脆弱性問題は、ファイル転送ソフトウェアの重要性を再認識させるものです。2023年にはProgress SoftwareのMOVEit製品の脆弱性により2,000以上の組織が侵害されたという前例があり、ファイル転送システムが攻撃者にとって魅力的な標的であることを示しています。

Shadowserver Foundationのデータによると、3月30日時点で約1,500台の脆弱なCrushFTPインスタンスがインターネット上に公開されていました。これらのシステムは早急なアップデートが必要です。

Huntressの調査によると、攻撃者は脆弱性を悪用した後、SimpleHelp RMMやMeshCentralエージェントなどの正規ツールを使用して永続的なアクセスを確立しています。また、Telegramボットを使用して侵害されたマシンからテレメトリを受信するという手法も確認されています。

皆さんの組織ではファイル転送ソフトウェアのセキュリティ対策はどのように行われていますか?CrushFTPのような製品を使用している場合、最新バージョンへのアップデートは完了していますか?今回のケースは、脆弱性の発見から攻撃開始までの時間が非常に短いことを示しています。セキュリティアップデートの適用プロセスを見直す良い機会かもしれません。皆さんの経験や取り組みをぜひSNSでシェアしていただければ幸いです。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

author avatar
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » CrushFTP脆弱性が悪用継続中 – 開示論争の陰で企業データが危険に

Latest News