أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية حرجة تم الكشف عنها مؤخرًا في برنامج CrushFTP إلى كتالوج الثغرات المستغلة المعروف (KEV)، وذلك عقب ورود تقارير عن استغلال فعلي لها في البيئات الواقعية.
تتمثل هذه الثغرة في تجاوز لآلية المصادقة، ما قد يتيح للمهاجمين غير المصادقين الاستيلاء على مثيلات النظام المعرضة للخطر. وقد تم تصحيح الثغرة في الإصدارات 10.8.4 و11.3.1 من CrushFTP.
وقالت CISA في بيان تحذيري:
“تحتوي CrushFTP على ثغرة تجاوز للمصادقة ضمن ترويسة التفويض في بروتوكول HTTP، تتيح للمهاجمين البعيدين غير المصادقين تسجيل الدخول إلى أي حساب معروف أو قابل للتخمين (مثل: crushadmin)، ما قد يؤدي إلى سيطرة كاملة على النظام.”
تم تعيين معرف الثغرة CVE-2025-31161 لها (بدرجة خطورة CVSS: 9.8). تجدر الإشارة إلى أن الثغرة كانت تُتابع سابقًا تحت المعرف CVE-2025-2825، والذي تم تصنيفه لاحقًا كمرفوض (Rejected) في قائمة CVE.
الجدل حول الإفصاح عن الثغرة
جاء إدراج الثغرة في KEV بعد حالة من الجدل والارتباك حول عملية الإفصاح عنها. حيث قامت شركة VulnCheck – بصفتها جهة ترقيم CVE (CNA) – بتخصيص معرف خاص بها (CVE-2025-2825)، بينما كان المعرف الرسمي (CVE-2025-31161) لا يزال قيد الانتظار.
وقد أكدت شركة Outpost24، صاحبة الفضل في الكشف المسؤول عن الثغرة، أنها طلبت معرف CVE من MITRE في 13 مارس 2025، وكانت تنسق مع فريق CrushFTP لضمان طرح الإصلاحات ضمن فترة الإفصاح المحددة بـ90 يومًا.
لكن لم يتم تخصيص المعرف CVE-2025-31161 من قبل MITRE إلا بتاريخ 27 مارس، بعد أن كانت VulnCheck قد نشرت معرف CVE خاص بها دون التواصل المسبق مع CrushFTP أو Outpost24، للتحقق من وجود عملية إفصاح منظمة جارية بالفعل.
وفي المقابل، انتقدت VulnCheck مؤسسة MITRE لرفضها CVE-2025-2825 واعتمادها CVE-2025-31161 بدلًا منه، كما اتهمت CrushFTP بمحاولة التغطية على الثغرة.
وكتب الباحث الأمني باتريك جاريتي من VulnCheck على LinkedIn:
“قامت CrushFTP بنشر إشعار أمني لكنها طلبت صراحةً عدم إصدار CVE لمدة 90 يومًا، في محاولة لإخفاء الثغرة عن مجتمع الأمن السيبراني والمدافعين.”
“وما هو أسوأ من ذلك، أن MITRE يبدو أنها فضلت المشاركة في كتابة التحليل على الإفصاح الفوري عن ثغرة يتم استغلالها فعليًا. هذا يمثل سابقة خطيرة.”
خطوات استغلال الثغرة (دون تفاصيل تقنية دقيقة)
أصدرت شركة Outpost24 خطوات عملية لتفعيل الثغرة، دون الكشف الكامل عن الجوانب التقنية، على النحو التالي:
إنشاء رمز جلسة عشوائي مكون من أحرف وأرقام بطول لا يقل عن 31 حرفًا.
تعيين ملف تعريف ارتباط (cookie) يُسمى CrushAuth بالقيمة المُولدة في الخطوة 1.
تعيين ملف تعريف ارتباط آخر يُسمى currentAuth باستخدام آخر 4 أحرف من نفس القيمة.
تنفيذ طلب HTTP GET إلى المسار /WebInterface/function/ باستخدام ملفات الارتباط من الخطوتين 2 و3، وترويسة تفويض (Authorization header) بصيغة:
النتيجة النهائية هي أن الجلسة التي تم إنشاؤها تُصادق كمستخدم محدد، مما يتيح للمهاجم تنفيذ أي أوامر يحق لذلك المستخدم تنفيذها.
أنشطة استغلال فعلية
ذكرت شركة Huntress، التي أنشأت نموذجًا أوليًا للثغرة CVE-2025-31161، أنها رصدت استغلالًا فعليًا للثغرة في 3 أبريل 2025، وكشفت عن أنشطة لاحقة شملت استخدام عميل MeshCentral وبرمجيات ضارة أخرى. وتشير بعض الأدلة إلى أن الاختراق قد بدأ في 30 مارس.
وأضافت الشركة أن جهود الاستغلال استهدفت حتى الآن أربع مضيفات (hosts) تابعة لأربع شركات مختلفة، ثلاث منها تستضيفها نفس مزود الخدمة المُدارة (MSP). ولم يتم الكشف عن أسماء الشركات المتأثرة، لكن أنشطتها تشمل مجالات التسويق والتجزئة وأشباه الموصلات.
وقد استغل المهاجمون الوصول لتركيب برمجيات تحكم عن بعد شرعية مثل AnyDesk وMeshAgent، بالإضافة إلى جمع بيانات اعتماد المستخدمين في إحدى الحالات على الأقل.
بعد نشر MeshAgent، أضاف المهاجمون مستخدمًا غير إداري باسم “CrushUser” إلى مجموعة المدراء المحليين، كما قاموا بزرع ملف DLL بلغة C++ يحمل اسم “d3d11.dll”، وهو تنفيذ لمكتبة مفتوحة المصدر تُعرف باسم TgBot.
وذكر باحثو Huntress:
“من المرجح أن المهاجمين يستخدمون بوت تيليغرام لجمع بيانات عن الأنظمة المصابة.”
توصيات أمنية
وحتى 6 أبريل 2025، تم تحديد وجود 815 مثيلًا من CrushFTP لا تزال غير محدثة ومعرضة للخطر، منها 487 في أمريكا الشمالية و250 في أوروبا.
وبناءً على الاستغلال النشط، ألزمت CISA جميع الوكالات الفيدرالية ضمن الفرع التنفيذي المدني (FCEB) بتطبيق التصحيحات اللازمة قبل 28 أبريل 2025 لضمان حماية شبكاتهم.
