CVSSスコア9.8 ファイル転送ソフト「CrushFTP」に重大な脆弱性：Cybersecurity Dive

ファイル転送サーバ・ソフトウェア「CrushFTP」に致命的な脆弱性が見つかった。この脆弱性はリモートから実行可能で悪用が容易なため、共通脆弱性評価システム（CVSS）におけるスコアは9.8となっている。

[Rob Wright，Cybersecurity Dive]

　ファイル転送サーバ・ソフトウェア「CrushFTP」に致命的な脆弱（ぜいじゃく）性があり、共通脆弱性識別子が割り当てられてから1週間もたたないうちに攻撃を受けている。

　この脆弱性は「CVE-2025-2825」として追跡されている（注1）。同脆弱性の悪用により、攻撃者は認証を回避してファイル転送サーバへのポートアクセスを得られる。セキュリティ研究者によると、この脆弱性はリモートから実行可能で悪用が容易なため、共通脆弱性評価システム（CVSS）におけるスコアは9.8となっている。

CrushFTPにスコア9.8の致命的な脆弱性

　非営利団体であるThe Shadowserver Foundationは2025年3月31日（現地時間、以下同）に実施した「X」（旧「Twitter」）への投稿で「一般公開されているPoC（概念実証）用のプログラムに基づく悪用の試みを観測した」と述べた（注2）。The Shadowserver Foundationのデータによると、同年3月30日時点で「CVE-2025-2825」に対して未修正のCrushFTPのインスタンスは1512件あり、これは同年3月28日時点の約1800件から減少しているという。

　同組織の報告によると（注3）、悪用の試みの大半はアジアのIPアドレスから発信されており、欧州および北米からのものは少数のようだ。

　サイバーセキュリティ企業であるProjectDiscoveryは、技術的な詳細とPoCを2025年3月28日に公開した（注4）。同社は「CVE-2025-2825」は複雑でなく、ネットワーク経由の攻撃経路を持つことから、組織に深刻な影響を及ぼす可能性があると指摘している。

　CrushFTPのベン・スピンク氏（CEO）は「Cybersecurity Dive」に対し、「認証回避の脆弱性を悪用されたことによる侵害の報告が顧客から幾つか寄せられている」と述べた。

情報開示に対する疑問と混乱

　サイバーセキュリティ事業を営むRapid7によると、CrushFTPは顧客に対して、電子メールで非公開の形で同脆弱性を通知した。その後、同社はCrushFTPのバージョン10からバージョン11に対するHTTP（S）を利用したポートアクセスを、認証なしで可能にする脆弱性に関するセキュリティアドバイザリを公開した（注5）。このアドバイザリには、共通脆弱性識別子に関する内容が含まれておらず、顧客に対してバージョン11.3.1へのアップグレードを強く推奨するものだった。

　Rapid7は、顧客に対して電子メールで実施された通知と公開されたアドバイザリの内容に食い違いがあると指摘した。同社は技術分析のなかで「ベンダーから提供された情報はごくわずかで、影響を受けるバージョンに関する混乱が生じた。最初の電子メールには、v11のうち11.3.1未満が脆弱であるとだけ記載されていたが、アドバイザリではv10のうち10.8.4未満も脆弱であるとされていた」と述べている（注6）。

　この脆弱性には2025年3月26日に共通脆弱性識別子が割り当てられた。しかし、CrushFTPのアドバイザリには依然として共通脆弱性識別子に関する記載がなく、認証回避の脆弱性に関する追加情報も掲載されていない。

　混乱に拍車を掛けているのは、CrushFTPのスピンク氏による、認証回避に関する本当の脆弱性は「CVE-2025-31161」だという主張だ。しかし、現在この脆弱性は米国国立標準技術研究所（NIST）のNational Vulnerability Databaseにも、MitreのCVE.orgにも登録されていない。

　スピンク氏はCybersecurity Diveに対する電子メールの中で、この脆弱性はサイバーセキュリティ企業であるOutpost24が発見し、報告したものだと説明した。一方、同氏は「別のサイバーセキュリティ企業が自ら発見していないにもかかわらず、本脆弱性の発見に関する功績を主張し、CrushFTPが正式に公表する前に同じ脆弱性に対して別の共通脆弱性識別子を割り当てたことで混乱が生じた」とも述べている。

　「私たちは、脆弱性の詳細が公開される前に、可能な限り早急にユーザーにアップデートを開始してもらおうとしていた」（スピンク氏）

　また、スピンク氏は「CrushFTPのv10のバージョンの大半と、v11のバージョンの全てが本脆弱性の影響を受ける」と述べている。同氏は「電子メールを送信した時点では、v11のみが影響を受けると考えていた。しかし、その数分後に、一部のv10も影響を受けることが判明し、ページを更新してその旨を記載し、以降は両方が影響を受けることをユーザーに伝えてきた」とも記している。

　ここ数年、ファイル転送のための製品やサービスは（注7）、ランサムウェアグループを含むさまざまな攻撃者から集中的に狙われてきた。CrushFTPのゼロデイ脆弱性「CVE-2024-4040」は、約1年前にも攻撃を受けている（注8）（注9）。

（注1）CVE-2025-2825 Detail（NIST）
（注2）Shadowserver（X）
（注3）Results（SHADOWSERVER）
（注4）CrushFTP Authentication Bypass - CVE-2025-2825（Project Discovery）
（注5）CrushFTP 11.0.0 to 11.3.0 are vulnerable. Update to 11.3.1+ immediately.（CrushFTP）
（注6）CVE-2025-2825（AKB）
（注7）File-transfer services, rich with sensitive data, are under attack（Cybersecurity Dive）
（注8）CVE-2024-4040 Detail（NIST）
（注9）Zero-day exploits hit CrushFTP, researchers expect rapid exploitation（Cybersecurity Dive）

原文へのリンク