สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ของสหรัฐฯ ได้เพิ่มช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งส่งผลกระทบต่อ CrushFTP ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) หลังจากที่มีรายงานการใช้โจมตีจริงในวงกว้าง
ช่องโหว่นี้เป็นช่องโหว่ Authentication bypass ที่อาจทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถเข้าควบคุมระบบ CrushFTP ที่มีช่องโหว่ได้ โดยช่องโหว่ได้รับการแก้ไขไปแล้วในเวอร์ชัน 10.8.4 และ 11.3.1
CISA ระบุในประกาศเตือนว่า “CrushFTP มีช่องโหว่ Authentication bypass ผ่าน HTTP authorization header ซึ่งทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถเข้าสู่ระบบด้วยบัญชีผู้ใช้ที่รู้จัก หรือคาดเดาได้ (เช่น crushadmin) ซึ่งอาจนำไปสู่การควบคุมระบบได้ทั้งหมด”
ช่องโหว่นี้มีหมายเลข CVE-2025-31161 (คะแนน CVSS: 9.8) โดยก่อนหน้านี้เคยใช้หมายเลข CVE-2025-2825 ซึ่งปัจจุบันถูกระบุว่าถูกปฏิเสธในรายการ CVE แล้ว
เหตุการณ์นี้เกิดขึ้นหลังจากกระบวนการเปิดเผยช่องโหว่ดังกล่าวเต็มไปด้วยความขัดแย้ง และความสับสน โดย VulnCheck ซึ่งมีสถานะเป็น CVE Numbering Authority (CNA) ได้กำหนดรหัสช่องโหว่เป็น CVE-2025-2825 ขณะที่หมายเลข CVE อย่างเป็นทางการ (CVE-2025-31161) ยังอยู่ในระหว่างการรอดำเนินการ
Outpost24 ซึ่งได้รับเครดิตในการเปิดเผยช่องโหว่ ได้ออกมาชี้แจงว่า พวกเขาได้ร้องขอหมายเลข CVE จาก MITRE เมื่อวันที่ 13 มีนาคม 2025 และได้ประสานงานกับ CrushFTP เพื่อให้มั่นใจว่าการแก้ไขช่องโหว่จะถูกดำเนินการภายในระยะเวลาก่อนการเปิดเผยช่องโหว่ 90 วัน
อย่างไรก็ตาม MITRE ไม่ได้กำหนดหมายเลข CVE ให้ช่องโหว่นี้จนถึงวันที่ 27 มีนาคม ซึ่งในระหว่างนั้น VulnCheck ได้เผยแพร่หมายเลข CVE ของตนเอง โดยไม่ได้ติดต่อ “CrushFTP หรือ Outpost24 ล่วงหน้าเพื่อสอบถามว่ามีการดำเนินการเปิดเผยช่องโหว่อย่างถูกต้องหรือไม่”
ส่วน VulnCheck เองได้วิพากษ์วิจารณ์ MITRE ที่ปฏิเสธหมายเลข CVE-2025-2825 และเผยแพร่ CVE-2025-31161 แทน พร้อมทั้งกล่าวหา CrushFTP ว่ามีความพยายามปกปิดช่องโหว่นี้อีกด้วย
Patrick Garrity นักวิจัยด้านความปลอดภัยจาก VulnCheck ระบุผ่านโพสต์บน LinkedIn ว่า “CrushFTP, LLC ได้เผยแพร่คำแนะนำด้านความปลอดภัย แต่จงใจร้องขอไม่ให้ออกหมายเลข CVE เป็นเวลา 90 วัน ซึ่งเท่ากับเป็นการพยายามปกปิดช่องโหว่ไม่ให้ชุมชนด้านความมั่นคงปลอดภัย และผู้ป้องกันระบบทราบ”
“ที่แย่กว่านั้นคือ MITRE ดูเหมือนจะให้ความสำคัญกับการมีส่วนร่วมในรายงานมากกว่าการเปิดเผยช่องโหว่อย่างทันท่วงที ซึ่งถือเป็นการสร้างบรรทัดฐานที่อันตราย”
บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์ของสวีเดน ได้เผยแพร่คำแนะนำแบบ step-by-step ในการโจมตีโดยใช้ช่องโหว่ แต่ไม่ได้เปิดเผยรายละเอียดทางเทคนิคมากนัก
- สร้าง session token แบบสุ่มที่ประกอบด้วยตัวอักษร และตัวเลข ความยาวอย่างน้อย 31 ตัวอักษร
- ตั้งค่า cookie ที่ชื่อว่า CrushAuth ให้มีค่าตามที่สร้างในขั้นตอนที่ 1
- ตั้งค่า cookie ที่ชื่อว่า currentAuth ให้มีค่าเป็น 4 ตัวอักษรสุดท้ายของค่าที่สร้างในขั้นตอนที่ 1
- ส่ง HTTP GET request ไปยังเป้าหมาย /WebInterface/function/ โดยแนบ cookie จากขั้นตอนที่ 2 และ 3 และตั้งค่า header Authorization เป็น "AWS4-HMAC=<username>/" โดย <username> คือชื่อผู้ใช้ที่ต้องการเข้าสู่ระบบ (เช่น crushadmin)
ผลลัพธ์โดยรวมของการกระทำเหล่านี้คือ เซสชันที่ถูกสร้างขึ้นตั้งแต่เริ่มต้นจะได้รับการยืนยันตัวตนในฐานะผู้ใช้ที่เลือกไว้ ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งใด ๆ ก็ได้ที่ผู้ใช้นั้นมีสิทธิ์ในการใช้งาน
Huntress ซึ่งได้สร้าง Proof-of-Concept สำหรับช่องโหว่ CVE-2025-31161 ขึ้นมาใหม่ระบุว่า ได้ตรวจพบการโจมตีที่ใช้ช่องโหว่นี้แล้วในสถานการณ์จริง เมื่อวันที่ 3 เมษายน 2025 และยังพบพฤติกรรมหลังการโจมตีเพิ่มเติม ซึ่งรวมถึงการใช้งาน Agent MeshCentral และมัลแวร์ประเภทอื่น ๆ อีกด้วย โดยมีหลักฐานบางอย่างที่แสดงให้เห็นว่า การบุกรุกอาจเกิดขึ้นตั้งแต่วันที่ 30 มีนาคม
บริษัทความปลอดภัยทางไซเบอร์ดังกล่าวระบุว่า พบความพยายามในการโจมตีที่มุ่งเป้าไปยังโฮสต์ 4 เครื่อง จากบริษัท 4 แห่งที่แตกต่างกัน โดย 3 แห่งในนั้นใช้บริการจากผู้ให้บริการที่มีการจัดการ (MSP) รายเดียวกัน อย่างไรก็ตาม ไม่มีการเปิดเผยชื่อของบริษัทที่ได้รับผลกระทบ แต่ระบุว่าอยู่ในอุตสาหกรรมการตลาดค้าปลีก และ semiconductor sectors
กลุ่มผู้โจมตีใช้สิทธิ์การเข้าถึงที่ได้มาเพื่อติดตั้งซอฟต์แวร์ remote desktop ที่ถูกต้อง เช่น AnyDesk และ MeshAgent พร้อมกับดำเนินการดึงข้อมูลบัญชีผู้ใช้อย่างน้อยหนึ่งอินสแตนซ์ด้วย
หลังจากใช้งาน MeshAgent แล้ว ผู้โจมตีได้เพิ่มผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบ “CrushUser” เข้าไปในกลุ่มผู้ดูแลระบบในเครื่อง และยังได้ส่งไฟล์ไบนารี C++ (d3d11.dll) ซึ่งเป็นการใช้งานของไลบรารีโอเพ่นซอร์สชื่อ TgBot
นักวิจัยจาก Huntress ระบุว่า “มีความเป็นไปได้สูงที่กลุ่มผู้โจมตีกำลังใช้ Telegram bot เพื่อรวบรวมข้อมูล telemetry จากเครื่องที่ถูกติดตั้งมัลแวร์”
ณ วันที่ 6 เมษายน 2025 พบว่ามีระบบที่ยังไม่ได้ติดตั้งแพตช์ และยังมีช่องโหว่จำนวน 815 รายการ โดยในจำนวนนี้ 487 รายการอยู่ในอเมริกาเหนือ และ 250 รายการอยู่ในยุโรป เนื่องจากมีการโจมตีที่เกิดขึ้นจริง หน่วยงานในสังกัด Federal Civilian Executive Branch (FCEB) จึงถูกกำหนดให้ต้องติดตั้งแพตช์ที่จำเป็นภายในวันที่ 28 เมษายน เพื่อรักษาความปลอดภัยของเครือข่ายของตนเอง
ที่มา : thehackernews
You must be logged in to post a comment.