セキュリティ

SECURITY

公開：2025-04-12

【CVE-2025-31161】CrushFTPに深刻な認証バイパスの脆弱性、管理者権限奪取のリスクで緊急対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• CrushFTP 10.8.4未満と11.3.1未満でクリティカルな認証バイパス脆弱性
• AWS4-HMAC認証プロセスの競合状態を悪用可能
• crushadmin権限の横取りによるシステム完全掌握のリスク

CrushFTP認証バイパス脆弱性【CVE-2025-31161】の詳細

MITREは2025年4月3日、FTPサーバーソフトウェアCrushFTPに深刻な認証バイパスの脆弱性を発見したことを公開した。この脆弱性はCrushFTP 10.8.4未満および11.3.1未満のバージョンに影響を与え、AWS4-HMAC認証方式で競合状態が発生することで管理者権限の奪取が可能となっている。^[1]

脆弱性の主な原因は、HTTPコンポーネントのAWS4-HMAC認証プロセスにおいて、パスワード要件のないlogin_user_pass()呼び出しによるユーザー存在確認が行われることにある。この認証セッションはHMAC検証プロセスを通過し、再度のユーザー確認まで有効な状態が維持されることが判明した。

AWS4-HMACヘッダーを改ざんすることで、競合状態の発生を待つことなく脆弱性を安定的に悪用できることも明らかになった。ユーザー名とスラッシュ(/)を提供するだけで、サーバーはユーザーを見つけて認証プロセスを開始し、SignedHeadersエントリの欠落によりセッションのクリーンアップが実行されない状態となる。

CrushFTP脆弱性の影響範囲まとめ

競合状態について

競合状態とは、複数のプロセスやスレッドが共有リソースに同時にアクセスする際に発生する問題のことを指す。主な特徴として、以下のような点が挙げられる。

• タイミングに依存した脆弱性の一種
• 共有リソースへの同時アクセスによる予期せぬ動作
• セキュリティ検証のバイパスを可能にする

CrushFTPの脆弱性では、AWS4-HMAC認証プロセスにおいて競合状態が発生し、認証検証をバイパスすることが可能となっている。この問題は、ユーザー確認とセッション管理の処理タイミングの不整合によって引き起こされ、攻撃者による管理者権限の奪取を容易にしてしまう結果となった。

CrushFTP認証バイパス脆弱性に関する考察

FTPサーバーソフトウェアにおける認証バイパスの脆弱性は、企業の重要なデータ資産を危険にさらす深刻な問題となっている。特にCrushFTPの場合、DMZプロキシインスタンスを使用していない環境では、crushadmin権限の奪取による完全なシステム掌握が可能となるため、早急なバージョンアップによる対策が不可欠だろう。

AWS4-HMAC認証の実装における競合状態の問題は、多くのシステムで見落とされがちな脆弱性の一つとなっている。認証プロセスの各段階での厳密な検証と、セッション管理の適切な実装が重要であり、今後は同様の脆弱性を防ぐためのセキュリティテストの強化が求められるだろう。

今後はゼロトラストアーキテクチャの採用や、マイクロセグメンテーションの実装により、たとえ認証をバイパスされた場合でも被害を最小限に抑える対策が重要となる。FTPサーバーの運用においては、DMZプロキシの活用や多層防御の実装など、より包括的なセキュリティ対策の検討が必要だ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-31161, (参照 25-04-12).
3006

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧