Dois CVEs, uma falha crítica: entenda a polêmica do CrushFTP

Duas CVEs diferentes estão atualmente associadas a uma vulnerabilidade crítica no CrushFTP — e grande parte da indústria de segurança está utilizando o identificador “errado”.

Novos detalhes vieram à tona sobre a polêmica envolvendo uma falha crítica no CrushFTP, que começou a ser explorada por hackers poucos dias após ser revelada publicamente.

No dia 21 de março, os desenvolvedores do CrushFTP — uma solução corporativa de transferência de arquivos — informaram seus clientes de que as versões 10 e 11 estavam vulneráveis a um problema grave, que poderia permitir que um invasor remoto burlasse a autenticação e obtivesse acesso administrativo às instâncias afetadas.

As correções foram disponibilizadas nas versões 11.3.1 e 10.8.4, e também foram oferecidas soluções alternativas. No entanto, como nenhum identificador CVE havia sido publicado cinco dias após o alerta inicial, a empresa de inteligência de vulnerabilidades VulnCheck decidiu atribuir um CVE por conta própria: o CVE-2025-2825.

A VulnCheck, que se tornou uma Autoridade de Numeração de CVEs (CNA) em abril de 2023, tem permissão para atribuir identificadores a falhas não cobertas por outras CNAs. No entanto, a equipe do CrushFTP não ficou satisfeita com a decisão, alegando que o “CVE oficial” ainda estava pendente.

Cerca de 10 dias após a divulgação inicial, a CrushFTP informou que a vulnerabilidade seria oficialmente identificada como CVE-2025-31161, atribuído pela empresa de segurança Outpost24, responsável por reportar a falha de forma responsável ao fornecedor.

Em um post publicado na quarta-feira, a Outpost24 explicou que entrou em contato com a MITRE em 13 de março para solicitar a criação do CVE, com o plano de manter os detalhes da vulnerabilidade em sigilo por 90 dias, evitando sua exploração maliciosa.

A MITRE só atribuiu o CVE-2025-31161 em 27 de março, mas, até o artigo da SecurityWeek de 2 de abril — onde o CVE foi mencionado publicamente pela primeira vez — a maior parte da comunidade de segurança já havia adotado o CVE-2025-2825 (criado pela VulnCheck) como referência para rastrear a falha.

A Outpost24 criticou a atitude da VulnCheck, afirmando que a empresa não fez contato prévio com o CrushFTP ou com a própria Outpost24 para verificar se já existia um processo de divulgação responsável em andamento — e tampouco creditou a descoberta à Outpost24.

A Outpost24 aguarda agora um posicionamento oficial da MITRE sobre o conflito entre os dois CVEs. Até o momento, apenas o CVE-2025-2825 aparece listado no banco de dados oficial NVD (National Vulnerability Database), enquanto o CVE-2025-31161 ainda não foi incluído.

A controvérsia ganhou ainda mais atenção depois que várias empresas de segurança começaram a analisar a falha, publicar detalhes técnicos e divulgar códigos de prova de conceito (PoC). Pouco depois, a organização sem fins lucrativos The Shadowserver Foundation passou a detectar tentativas reais de exploração da falha.

Segundo dados da Shadowserver, os ataques ainda continuam, embora o número de IPs maliciosos tenha começado a cair a partir de 2 de abril. Inicialmente, havia cerca de 1.800 instâncias do CrushFTP expostas à internet e vulneráveis. Esse número tem caído de forma constante, mas ainda existem centenas de sistemas vulneráveis no mundo todo, incluindo mais de 500 somente nos Estados Unidos.

A CrushFTP disse que está incentivando ativamente seus clientes a aplicarem os patches e culpou algumas empresas de segurança — classificadas pela companhia como “atores mal-intencionados” — pela rápida exploração da falha por hackers em ambientes reais.

Ainda não está claro o que os invasores estão fazendo após explorar a vulnerabilidade. No entanto, a falha pode permitir o acesso a dados sensíveis ou até mesmo a realização de ataques mais sofisticados contra as organizações afetadas.

Via - SW