Een onlangs bekendgemaakte kritische beveiligingsfout die CrushftP beïnvloedt, is door de Amerikaanse cybersecurity en infrastructuurbeveiliging (CISA) toegevoegd aan de bekende uitgebuite catalogus van de Vulnerability (KEV) nadat rapporten zijn ontstaan uit actieve exploitatie in het wild.
De kwetsbaarheid is een geval van authenticatie -bypass waarmee een niet -geauthenticeerde aanvaller gevoelige gevallen kan overnemen. Het is opgelost in versies 10.8.4 en 11.3.1.
“CrushftP bevat een kwetsbaarheid van authenticatie omsetend in de HTTP -autorisatiekop waarmee een externe niet -geauthenticeerde aanvaller zich kan verifiëren naar een bekende of guyable gebruikersaccount (bijv. Crushadmin), wat mogelijk leidt tot een volledig compromis,” zei Cisa in een advies.
De tekortkoming is toegewezen aan de CVE ID CVE-2025-31161 (CVSS-score: 9.8). Het merkt op dat dezelfde kwetsbaarheid eerder werd gevolgd als CVE-2025-2825, die nu is afgewezen in de CVE-lijst.
De ontwikkeling komt nadat het openbaarmakingsproces geassocieerd met de fout is verstrikt in controverse en verwarring, waarbij vulncheck-omdat het een CVE-nummeringsautoriteit (CNA) was-een identifier toegewezen (dwz CVE-2025-2825), terwijl de werkelijke CVE (IE, CVE-2025-31161) was.
Outpost24, die wordt gecrediteerd met het verantwoorde onthulling van de fout aan de verkoper, is ingegrepen om te verduidelijken dat het op 13 maart 2025 een CVE-nummer van MITER heeft gevraagd en dat het coördineerde met CrushftP om ervoor te zorgen dat de oplossingen binnen een openbaarmakingsperiode van 90 dagen werden uitgerold.
Het was echter pas in 27 maart dat mijter de fout de CVE CVE-2025-31161 toegewezen, tegen die tijd had Vulncheck een eigen CVE vrijgegeven zonder contact op te nemen met “Crushftp of Outpost24 om te zien of een verantwoordelijk openbaarmakingsproces al aan de gang was.”
Het Zweedse cybersecuritybedrijf heeft sindsdien stapsgewijze instructies vrijgegeven om de exploit te activeren zonder veel van de technische details te delen-
- Genereer een willekeurig alfanumeriek sessie -token van een minimaal 31 tekens van lengte
- Stel een cookie in met de naam CrushAuth op de waarde gegenereerd in stap 1
- Stel een cookie in met de naam CurrentAuth op de laatste 4 tekens van de waarde gegenereerd in stap 1
- Voer een HTTP GET-aanvraag uit naar de doel/webinterface/functie/met de cookies uit stappen 2 en 3, evenals een autorisatiekop ingesteld op “AWS4-HMAC =
/”, waarbij de gebruiker is die moet worden ondertekend als (bijv. Crushadmin)
Een netto resultaat van deze acties is dat de in het begin gegenereerde sessie wordt geverifieerd als de gekozen gebruiker, waardoor een aanvaller alle opdrachten kan uitvoeren waaraan de gebruiker rechten heeft.
Huntress, die een proof-of-concept voor CVE-2025-31161 opnieuw creëerde, zei dat het op 3 april 2025 op 3 april 2025 werd uitgebuit van CVE-2025-31161, en dat het verdere post-exploitatieactiviteiten met betrekking tot het gebruik van meshcentrale agent en andere malware ontdekte. Er zijn aanwijzingen dat het compromis al in 30 maart kan zijn gebeurd.
Het cybersecuritybedrijf zei dat het exploitatie -inspanningen heeft gezien die gericht zijn op vier verschillende hosts van vier verschillende bedrijven tot nu toe, waardoor drie van de getroffen getroffen werden georganiseerd door dezelfde beheerde serviceprovider (MSP). De namen van de getroffen bedrijven werden niet bekendgemaakt, maar ze behoren tot marketing-, retail- en halfgeleidersectoren.
De dreigingsacteurs zijn gevonden om de toegang te bewapenen om legitieme externe desktopsoftware zoals Anydesk en Meshagent te installeren, terwijl ze ook stappen ondernemen om inloggegevens in ten minste één instantie te oogsten.
Na het implementeren van meshagenten, zouden de aanvallers een niet-geadmin gebruiker (“Crushuser”) hebben toegevoegd aan de lokale beheerdersgroep en een andere C ++ binary (“d3d11.dll”) hebben afgeleverd, een implementatie van de open-source bibliotheek TGBOT.
“TT is waarschijnlijk dat de dreigingsacteurs gebruik maken van een telegrambot om telemetrie te verzamelen van geïnfecteerde gastheren,” zeiden Huntress -onderzoekers.
Vanaf 6 april 2025 zijn er 815 niet -gepatchte instanties die kwetsbaar zijn voor de fout, met 487 van hen in Noord -Amerika en 250 in Europa. In het licht van actieve uitbuiting zijn federale civiele executive tak (FCEB) agentschappen verplicht om de benodigde patches vóór 28 april toe te passen om hun netwerken te beveiligen.
