Tras la publicación pública del Código de Prueba de concepto, los investigadores de seguridad han identificado intentos de explotación agresivos de la vulnerabilidad de derivación de la autenticación crítica de CLSTLAFTP (CVE-2025-2825).
Basado en los últimos datos de monitoreo de la Fundación Shadowserver, aproximadamente 1,512 instancias acumuladas permanecen globalmente vulnerables a partir del 30 de marzo de 2025, con América del Norte organizando una mayoría (891) de estos servidores expuestos.
Las vulnerabilidades con una puntuación CVSS de 9.8 afectan las versiones CLANTFTP 10.0.0 a 10.8.3 y 11.0.0 a 11.3.0.
Como se reveló por primera vez el 26 de marzo de 2025, los atacantes remotos a los que no se les permite evitar la autenticación a través de solicitudes HTTP especialmente creadas podría conducir a un compromiso completo del sistema.
“Estamos observando los intentos de explotar CLANTFTP CVE-2025-2825 basados en los códigos de explotación POC disponibles públicamente”, anunció la Fundación Shadowserver en un aviso reciente.
“Vemos ~ 1.800 instancias no ganadas en todo el mundo, y hay más de 900 en los Estados Unidos”.
Detalles técnicos de exploits
Los investigadores de seguridad en Project-Descosvery han publicado un análisis detallado que revela cómo los atacantes pueden aprovechar las vulnerabilidades utilizando un proceso relativamente simple de tres pasos.
Los ataques utilizan tres componentes importantes:
El encabezado de AWS falsificado que utiliza el protocolo S3 de CrushFTP con el nombre de usuario “CrashAdmin” predeterminado es una cookie de fabricación con una manipulación específica de parámetros de valor CLANTAUTH de 44 caracteres para evitar las verificaciones de verificación de contraseña utilizando parámetros C2F
La vulnerabilidad se debe a la lógica de autenticación de defectos al procesar las solicitudes de estilo S3. Aquí, el sistema acepta inadvertidamente las credenciales “CrashAdmin/” como válidas sin la verificación de contraseña adecuada.
Los últimos datos del tablero de monitoreo de Shadowserver muestran que alberga el segundo mayor número de instancias vulnerables en el 490, seguido de Asia (62), Oceanía (45) y Sudamérica y África, con 12 instancias cada una.
Estrategia de mitigación
CrushFTP ha lanzado la versión 11.3.1 con una solución crítica para abordar la vulnerabilidad de la siguiente manera:
Deshabilitar la búsqueda de contraseña S3 inestable de forma predeterminada, agregue los parámetros de seguridad “S3_Auth_lookup_Password_Supported = FALSE” Implementación de verificaciones de flujo de autenticación apropiadas
Los expertos en seguridad recomiendan algunas acciones inmediatas.
Si el parche inmediato a la versión 11.3.1+ o 10.8.4+ no es posible, habilite la función DMZ inmediatamente como una mitigación temporal. Use la herramienta de detección gratuita para Project Soybean.
Esta vulnerabilidad sigue los problemas de seguridad anteriores en CLANTFTP, incluido CVE-2023-43177. Esto permitió a los atacantes no reconocidos a acceder al archivo y ejecutar código arbitrario.
El patrón recurrente de vulnerabilidades de autenticación en las soluciones de transferencia de archivos refleja una tendencia preocupante a medida que los atacantes continúan apuntando a estos componentes críticos de infraestructura como puntos de entrada a la red corporativa. Se espera que las organizaciones prioricen el parche de esta vulnerabilidad de inmediato.
Investigue enlaces maliciosos del mundo real y ataques de phishing con búsqueda de inteligencia de amenazas: pruébelo gratis
