攻击者利用公开概念验证代码，通过 CrushFTP 漏洞实现未授权访问

威胁行为者正在利用 CrushFTP 文件传输软件中的关键身份验证绕过漏洞（编号 CVE-2025-2825）。攻击者基于公开可获取的概念验证（PoC）利用代码发起攻击。

该漏洞影响 CrushFTP 10.0.0 至 10.8.3 以及 11.0.0 版本，可能导致未授权访问。攻击者通过向 CrushFTP 发送远程未认证 HTTP 请求，即可获取未授权访问权限。

CrushFTP 开发商敦促客户立即采取措施修复漏洞。无法立即升级的管理员应启用 DMZ 外围网络作为临时安全措施。

Shadowserver 研究人员警告称，威胁行为者正在野外尝试利用该漏洞。他们发现约 1800 个易受攻击的实例暴露在互联网上，其中美国占比最高（904 个）。

我们正在共享可能受 CVE-2025-2825（CVSS 9.8）影响的未修补 CrushFTP 实例，攻击者可通过 HTTP(S) 请求绕过身份验证。全球约有 1800 个未修补实例，其中美国超过 900 个。https://t.co/fszXcbDgzs pic.twitter.com/1m0eqo4LaH

— The Shadowserver Foundation (@Shadowserver) 2025年3月28日

Shadowserver 在 2025 年 3 月 30 日更新的报告中指出，目前仍有超过 1500 个易受攻击的实例暴露在互联网上。

"我们观察到基于公开 PoC 利用代码的 CrushFTP CVE-2025-2825 漏洞利用尝试。您可以通过我们的仪表板 dashboard.shadowserver.org/statistics/h... 跟踪这些尝试。目前仍有 1512 个未修补实例易受 CVE-2025-2825 影响。"

包括 Cl0p 勒索软件组织在内的威胁行为者，以攻击文件传输软件而闻名，其攻击目标包括 Accellion FTA、MOVEit Transfer、GoAnywhere MFT 和 Cleo 等产品。

2025 年 1 月，Clop 勒索软件组织在其数据泄露网站上新增了 59 家公司，该组织声称通过利用 Cleo 文件传输产品中的漏洞入侵了这些企业。

参考来源：

CrushFTP CVE-2025-2825 flaw actively exploited in the wild