-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheid verholpen in CrushFTP
Advisory ID     : NCSC-2025-0101
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2025-31161
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Authentication Bypass by Primary Weakness
                  Improper Authentication
Uitgiftedatum   : 20250407
Toepassing      : CrushFTP CrushFTP
                  Crushftp Crushftp
Versie(s)       :
Platform(s)     :

Update
   CVE-id vervangen voor officiele CVE-id voor deze kwetsbaarheid.
   Onderzoekers hebben PoC gepubliceerd.

Beschrijving
   CrushFTP heeft een kwetsbaarheid verholpen in versies 10.0.0 tot
   10.8.3 en 11.0.0 tot 11.3.0.

   De kwetsbaarheid stelt een kwaadwillende in staat om
   ongeauthenticeerde externe toegang te verkrijgen via HTTP-verzoeken,
   wat kan leiden tot ongeautoriseerde toegang. Systemen die gebruik
   maken van de DMZ Proxy instance van CrushFTP zijn niet kwetsbaar.
   Onderzoekers hebben de patch reverse-engineered en hebben een PoC
   kunnen bouwen waarmee de kwetsbaarheid kan worden aangetoond.
   Het NCSC ontvangt meldingen dat kwaadwillenden actief scannen naar
   kwetsbare systemen en dat compromittaties worden waargenomen.
   Eigenaren van een systeem dat gebruik maakt van CrushFTP kunnen
   detecteren of eventuele compromittatie heeft plaatsgevonden, door in
   de `session_logs` directory te controleren of externe toegang is
   verkregen op standaard accounts als `crushadmin` of `anonymous`.
   Logregels als voorbeeld zijn:
   ```
   SESSION|03/27/2025
   12:41:24.636|[HTTP:250_22299:crushadmin:REDACTED_ATTACKER_IP] WROTE:
   *230 Password OK.  Connected.*
   SESSION|03/27/2025
   12:41:24.636|[HTTP:250_22299:anonymous:REDACTED_ATTACKER_IP] WROTE:
   *230 Password OK.  Connected.*
   ```
   N.B.: Tijdens de initiële berichtenstroom was voor deze kwetsbaarheid
   nog geen CVE-id toegekend. Een niet-betrokken derde partij heeft een
   tijdelijk CVE-id toegekend in afwachting van de definitieve versie.
   Deze kwetsbaarheid is daarom ook onder CVE-2025-2825 bekend.

Mogelijke oplossingen
   CrushFTP heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
   Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - certbundde; cveprojectv5; nvd
      https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update

      Reference - ncscclear
      https://www.crushftp.com/version10.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----

iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmfz21EACgkQytTOqyR+
cF/4EgwAoSYfCAfwHsWHdLOfw8YjCqtehijTsfpiXlhxrmJL3Saxmse0IWmSrWyP
mNmDi8mfwla+W4NIEMI9r+lwMlU4mjXlbPikN3Hul8hFQz4M5t3zC4tcFpboYhFq
sqypB30+gSY/eKUtVrDqLR7UMEK2pdTSxSYuTTE2g+PSNwkFCTET8r5tBbCcr3G1
BdkIJwmoqJP0X65Be5KVWtB0Tw6nualEzK/Oi+hj8BJDeCHOaOjkdD8crvpE1Q2F
Gbau5DNx84CRxnvzPeKFJvquVPnqxHFF7ifMaqCiSLsoAm64IzEpEShIjl5HDoyw
qNcWZvAdmGUYMIWeD1xogiweC0TodzpTzhF2GuI+ufSc7wX0NHh39mvkXOoymkAc
k0yA2pqF0fZ2ruCNii2qNBuziOTCGXjcUwruCL4bLWqVw6ryd0CN8NbmXy7SYOYl
I3QMefHXLkNmssUhe+rHeamIaeOLQbV2f/Y1uy18MBxj8dC6pG4lDXvMJ0TlgEPD
VqNXnNN2
=vcA9
-----END PGP SIGNATURE-----