Wer CrushFTP für den Datentransfer nutzt, sollte die verwendete Version auf Aktualität prüfen. Das Entwicklerteam hat am vergangenen Freitag Angriffe in freier Wildbahn auf ältere Ausgaben entdeckt, die schlimmstenfalls zu einer Übernahme des Admin-Accounts durch Angreifer führen könnten.
Verwundbar sind laut Advisory der CrushFTP-Entwickler vor Anfang Juli erschienene Versionen. Konkret: die Versionen 10 bis exklusive 10.8.5 sowie Versionen ab 11 bis exklusive 11.3.4_23. Abgesichert sind dementsprechend alle Versionen ab 10.8.5 beziehungsweise 11.3.4_23 aufwärts. Bei aktiviertem DMZ-Proxy-Feature sei die Software grundsätzlich nicht verwundbar.
Die angegriffene Schwachstelle mit der ID CVE-2025-54309 hat einen CVSS-v3-Basescore von 9.0 (kritisch). Sie fußt laut knapper Beschreibung auf einem Validierungsfehler und kann via HTTPS missbraucht werden, um Admin-Zugriff zu erlangen. Laut CVSS-Vektorstring ist für einen Angriff weder eine Nutzerinteraktion noch eine vorherige Authentifizierung seitens des Angreifers erforderlich; allerdings wird die Angriffskomplexität als hoch beschrieben.
Wer die schützenden Updates versäumt hat und bereits kompromittiert wurde beziehungsweise dies annimmt, findet im CrushFTP-Advisory Kompromittierungsindikatoren, Handlungsempfehlungen sowie einige präventive Maßnahmen für die Zukunft.
Die sehr knappe Angriffsbeschreibung erinnert übrigens an frühere Angriffe auf CrushFTP Ende letzten sowie im Laufe des aktuellen Jahres. Zuletzt sorgten aktive Angriffe auf CrushFTP im April für Schlagzeilen bei heise Security: Auch damals konnten (bei ausgeschalteter DMZ-Funktion) Authentifizierungsmechanismen umgangen werden.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo