-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheid verholpen in CrushFTP
Advisory ID : NCSC-2025-0101
Versie : 1.00
Kans : medium
CVE ID : CVE-2025-2825
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Improper Authentication
Uitgiftedatum : 20250401
Toepassing : CrushFTP CrushFTP
Crushftp Crushftp
Versie(s) :
Platform(s) :
Beschrijving
CrushFTP heeft een kwetsbaarheid verholpen in versies 10.0.0 tot
10.8.3 en 11.0.0 tot 11.3.0.
De kwetsbaarheid stelt een kaadwillende in staat om
ongeauthenticeerde externe toegang te verkrijgen via HTTP-verzoeken,
wat kan leiden tot ongeautoriseerde toegang. Systemen die gebruik
maken van de DMZ Proxy instance van CrushFTP zijn niet kwetsbaar.
Er is (nog) geen publieke exploitcode bekend, maar het NCSC ontvangt
wel meldingen dat kwaadwillenden actief scannen naar kwetsbare
systemen en dat compromittaties worden waargenomen.
Eigenaren van een systeem dat gebruik maakt van CrushFTP kunnen
detecteren of eventuele compromittatie heeft plaatsgevonden, door in
de `session_logs` directory te controleren of externe toegang is
verkregen op standaard accounts als `crushadmin` of `anonymous`.
Logregels als voorbeeld zijn:
```
SESSION|03/27/2025
12:41:24.636|[HTTP:250_22299:crushadmin:REDACTED_ATTACKER_IP] WROTE:
*230 Password OK. Connected.*
SESSION|03/27/2025
12:41:24.636|[HTTP:250_22299:anonymous:REDACTED_ATTACKER_IP] WROTE:
*230 Password OK. Connected.*
```
Mogelijke oplossingen
CrushFTP heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
Zie bijgevoegde referenties voor meer informatie.
Referenties:
Reference - certbundde; cveprojectv5; nvd
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
Reference - ncscclear
https://www.crushftp.com/version10.html
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=QyuL
-----END PGP SIGNATURE-----
