เรื่องเล่าจาก CrushFTP: เมื่อการแก้บั๊กหนึ่งเปิดทางให้เกิดช่องโหว่อีก
CrushFTP เป็นซอฟต์แวร์ FTP ที่ได้รับความนิยมในองค์กรทั่วโลก ด้วยความสามารถในการจัดการไฟล์ผ่าน HTTP/S และรองรับโปรโตคอลหลากหลาย แต่ในเดือนกรกฎาคม 2025 นักวิจัยจาก WatchTowr Labs ได้ค้นพบช่องโหว่ร้ายแรง CVE-2025-54309 ซึ่งเปิดทางให้แฮกเกอร์สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบผ่านเว็บอินเทอร์เฟซ โดยไม่ต้องยืนยันตัวตนเลย
ช่องโหว่นี้เกิดจาก race condition ในการประมวลผลคำขอ HTTP สองชุดที่ถูกส่งต่อเนื่องอย่างรวดเร็ว โดยคำขอแรกมี header ที่ชี้ไปยัง crushadmin (ผู้ดูแลระบบในตัว) ส่วนคำขอที่สองไม่มี header แต่ใช้ session เดียวกัน ถ้าทั้งสองคำขอถูกประมวลผลในลำดับที่เฉพาะเจาะจง เซิร์ฟเวอร์จะเข้าใจผิดว่าเป็นผู้ดูแลระบบ และอนุญาตให้สร้างบัญชีแอดมินใหม่ได้ทันที
สิ่งที่น่าตกใจคือ CrushFTP ได้แก้ไขช่องโหว่นี้แบบ “เงียบ ๆ” โดยไม่แจ้งผู้ใช้ ทำให้กว่า 30,000 instance บนอินเทอร์เน็ตยังคงเสี่ยงต่อการถูกโจมตี และช่องโหว่นี้ถูกเพิ่มเข้าไปในรายการ CISA Known Exploited Vulnerabilities แล้ว
รายละเอียดช่องโหว่ CVE-2025-54309
เป็น race condition ในการประมวลผล HTTP POST สองคำขอที่ใช้ session เดียวกัน
คำขอแรกมี header AS2-TO: \\crushadmin ส่วนคำขอที่สองไม่มี แต่ใช้ cookie เดิม
หากลำดับถูกต้อง เซิร์ฟเวอร์จะอนุญาตให้สร้างบัญชีแอดมินใหม่ได้ทันที
ช่องโหว่เกิดใน CrushFTP v10 ก่อน 10.8.5 และ v11 ก่อน 11.3.4_23
การค้นพบและการทดสอบโดย WatchTowr Labs
ใช้ honeypot เฉพาะสำหรับ CrushFTP และตรวจจับการโจมตีแบบ real-time
วิเคราะห์ traffic แล้วพบรูปแบบคำขอที่ซ้ำกันกว่า 1,000 ครั้ง
สร้างสคริปต์ PoC ที่สามารถสร้างบัญชีแอดมินใหม่ได้บน instance ที่ยังไม่ patch
การตอบสนองจาก CrushFTP
ยอมรับว่าช่องโหว่ถูกใช้โจมตีจริงตั้งแต่ 18 กรกฎาคม 2025
ระบุว่าการแก้ไขเกิดจากการเปลี่ยนโค้ดเพื่อแก้ปัญหา AS2 โดยไม่รู้ว่ามีช่องโหว่แฝง
Patch ถูกปล่อยแบบเงียบ ๆ โดยไม่มีการแจ้งเตือนผู้ใช้
การป้องกันและคำแนะนำ
อัปเดตเป็น CrushFTP v10.8.5 หรือ v11.3.4_23 ทันที
เปิดใช้งาน DMZ proxy ซึ่งจะช่วยแยก instance ออกจากเซิร์ฟเวอร์หลัก
ตรวจสอบ log สำหรับคำขอ POST ที่มี header AS2-TO และ cookie ซ้ำ ๆ
ใช้ rate limiting และ intrusion detection เพื่อป้องกันการโจมตีแบบ high-frequency
https://hackread.com/hackers-exploit-crushftp-zero-day-take-over-servers/
CrushFTP เป็นซอฟต์แวร์ FTP ที่ได้รับความนิยมในองค์กรทั่วโลก ด้วยความสามารถในการจัดการไฟล์ผ่าน HTTP/S และรองรับโปรโตคอลหลากหลาย แต่ในเดือนกรกฎาคม 2025 นักวิจัยจาก WatchTowr Labs ได้ค้นพบช่องโหว่ร้ายแรง CVE-2025-54309 ซึ่งเปิดทางให้แฮกเกอร์สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบผ่านเว็บอินเทอร์เฟซ โดยไม่ต้องยืนยันตัวตนเลย
ช่องโหว่นี้เกิดจาก race condition ในการประมวลผลคำขอ HTTP สองชุดที่ถูกส่งต่อเนื่องอย่างรวดเร็ว โดยคำขอแรกมี header ที่ชี้ไปยัง crushadmin (ผู้ดูแลระบบในตัว) ส่วนคำขอที่สองไม่มี header แต่ใช้ session เดียวกัน ถ้าทั้งสองคำขอถูกประมวลผลในลำดับที่เฉพาะเจาะจง เซิร์ฟเวอร์จะเข้าใจผิดว่าเป็นผู้ดูแลระบบ และอนุญาตให้สร้างบัญชีแอดมินใหม่ได้ทันที
สิ่งที่น่าตกใจคือ CrushFTP ได้แก้ไขช่องโหว่นี้แบบ “เงียบ ๆ” โดยไม่แจ้งผู้ใช้ ทำให้กว่า 30,000 instance บนอินเทอร์เน็ตยังคงเสี่ยงต่อการถูกโจมตี และช่องโหว่นี้ถูกเพิ่มเข้าไปในรายการ CISA Known Exploited Vulnerabilities แล้ว
รายละเอียดช่องโหว่ CVE-2025-54309
เป็น race condition ในการประมวลผล HTTP POST สองคำขอที่ใช้ session เดียวกัน
คำขอแรกมี header AS2-TO: \\crushadmin ส่วนคำขอที่สองไม่มี แต่ใช้ cookie เดิม
หากลำดับถูกต้อง เซิร์ฟเวอร์จะอนุญาตให้สร้างบัญชีแอดมินใหม่ได้ทันที
ช่องโหว่เกิดใน CrushFTP v10 ก่อน 10.8.5 และ v11 ก่อน 11.3.4_23
การค้นพบและการทดสอบโดย WatchTowr Labs
ใช้ honeypot เฉพาะสำหรับ CrushFTP และตรวจจับการโจมตีแบบ real-time
วิเคราะห์ traffic แล้วพบรูปแบบคำขอที่ซ้ำกันกว่า 1,000 ครั้ง
สร้างสคริปต์ PoC ที่สามารถสร้างบัญชีแอดมินใหม่ได้บน instance ที่ยังไม่ patch
การตอบสนองจาก CrushFTP
ยอมรับว่าช่องโหว่ถูกใช้โจมตีจริงตั้งแต่ 18 กรกฎาคม 2025
ระบุว่าการแก้ไขเกิดจากการเปลี่ยนโค้ดเพื่อแก้ปัญหา AS2 โดยไม่รู้ว่ามีช่องโหว่แฝง
Patch ถูกปล่อยแบบเงียบ ๆ โดยไม่มีการแจ้งเตือนผู้ใช้
การป้องกันและคำแนะนำ
อัปเดตเป็น CrushFTP v10.8.5 หรือ v11.3.4_23 ทันที
เปิดใช้งาน DMZ proxy ซึ่งจะช่วยแยก instance ออกจากเซิร์ฟเวอร์หลัก
ตรวจสอบ log สำหรับคำขอ POST ที่มี header AS2-TO และ cookie ซ้ำ ๆ
ใช้ rate limiting และ intrusion detection เพื่อป้องกันการโจมตีแบบ high-frequency
https://hackread.com/hackers-exploit-crushftp-zero-day-take-over-servers/
🎙️ เรื่องเล่าจาก CrushFTP: เมื่อการแก้บั๊กหนึ่งเปิดทางให้เกิดช่องโหว่อีก
CrushFTP เป็นซอฟต์แวร์ FTP ที่ได้รับความนิยมในองค์กรทั่วโลก ด้วยความสามารถในการจัดการไฟล์ผ่าน HTTP/S และรองรับโปรโตคอลหลากหลาย แต่ในเดือนกรกฎาคม 2025 นักวิจัยจาก WatchTowr Labs ได้ค้นพบช่องโหว่ร้ายแรง CVE-2025-54309 ซึ่งเปิดทางให้แฮกเกอร์สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบผ่านเว็บอินเทอร์เฟซ โดยไม่ต้องยืนยันตัวตนเลย
ช่องโหว่นี้เกิดจาก race condition ในการประมวลผลคำขอ HTTP สองชุดที่ถูกส่งต่อเนื่องอย่างรวดเร็ว โดยคำขอแรกมี header ที่ชี้ไปยัง crushadmin (ผู้ดูแลระบบในตัว) ส่วนคำขอที่สองไม่มี header แต่ใช้ session เดียวกัน ถ้าทั้งสองคำขอถูกประมวลผลในลำดับที่เฉพาะเจาะจง เซิร์ฟเวอร์จะเข้าใจผิดว่าเป็นผู้ดูแลระบบ และอนุญาตให้สร้างบัญชีแอดมินใหม่ได้ทันที
สิ่งที่น่าตกใจคือ CrushFTP ได้แก้ไขช่องโหว่นี้แบบ “เงียบ ๆ” โดยไม่แจ้งผู้ใช้ ทำให้กว่า 30,000 instance บนอินเทอร์เน็ตยังคงเสี่ยงต่อการถูกโจมตี และช่องโหว่นี้ถูกเพิ่มเข้าไปในรายการ CISA Known Exploited Vulnerabilities แล้ว
✅ รายละเอียดช่องโหว่ CVE-2025-54309
➡️ เป็น race condition ในการประมวลผล HTTP POST สองคำขอที่ใช้ session เดียวกัน
➡️ คำขอแรกมี header AS2-TO: \\crushadmin ส่วนคำขอที่สองไม่มี แต่ใช้ cookie เดิม
➡️ หากลำดับถูกต้อง เซิร์ฟเวอร์จะอนุญาตให้สร้างบัญชีแอดมินใหม่ได้ทันที
➡️ ช่องโหว่เกิดใน CrushFTP v10 ก่อน 10.8.5 และ v11 ก่อน 11.3.4_23
✅ การค้นพบและการทดสอบโดย WatchTowr Labs
➡️ ใช้ honeypot เฉพาะสำหรับ CrushFTP และตรวจจับการโจมตีแบบ real-time
➡️ วิเคราะห์ traffic แล้วพบรูปแบบคำขอที่ซ้ำกันกว่า 1,000 ครั้ง
➡️ สร้างสคริปต์ PoC ที่สามารถสร้างบัญชีแอดมินใหม่ได้บน instance ที่ยังไม่ patch
✅ การตอบสนองจาก CrushFTP
➡️ ยอมรับว่าช่องโหว่ถูกใช้โจมตีจริงตั้งแต่ 18 กรกฎาคม 2025
➡️ ระบุว่าการแก้ไขเกิดจากการเปลี่ยนโค้ดเพื่อแก้ปัญหา AS2 โดยไม่รู้ว่ามีช่องโหว่แฝง
➡️ Patch ถูกปล่อยแบบเงียบ ๆ โดยไม่มีการแจ้งเตือนผู้ใช้
✅ การป้องกันและคำแนะนำ
➡️ อัปเดตเป็น CrushFTP v10.8.5 หรือ v11.3.4_23 ทันที
➡️ เปิดใช้งาน DMZ proxy ซึ่งจะช่วยแยก instance ออกจากเซิร์ฟเวอร์หลัก
➡️ ตรวจสอบ log สำหรับคำขอ POST ที่มี header AS2-TO และ cookie ซ้ำ ๆ
➡️ ใช้ rate limiting และ intrusion detection เพื่อป้องกันการโจมตีแบบ high-frequency
https://hackread.com/hackers-exploit-crushftp-zero-day-take-over-servers/
0 Comments
0 Shares
32 Views
0 Reviews
Thai