Seit vergangener Woche sind Angriffe im Netz auf eine Sicherheitslücke in der Datentransfersoftware CrushFTP bekannt. Die zunächst vorliegende Schwachstellenbeschreibung blieb äußerst oberflächlich und nannte lediglich eine mögliche "Umgehung der Authentifizierung". CrushFTP hat nun eine eigene, vollständigere Schwachstellenmeldung herausgegeben.
CrushFTP schreibt auf der Webseite etwas aufgebracht dazu: "CVE-2025-0282 scheint eine CVE-Kopie zu sein, die automatisch von einem nicht damit in Verbindung stehendem Unternehmen ausgestellt wurde". Inzwischen räumt CrushFTP dort auch den öffentlichen Exploit der Lücke ein.
Die Beschreibung der Lücke im neuen CVE-Eintrag ist deutlich detaillierter. "CrushFTP vor Version 10.8.4 und 11.3.1 ermöglicht die Umgehung der Authentifizierung und die Übernahme des 'crushadmin'-Kontos (außer, eine DMZ-Proxy-Instanz wird genutzt), wie es in freier Wildbahn im März und April 2025 missbraucht wurde, auch bekannt als 'nicht authentifizierter HTTP(s)-Port-Zugang'", leitet die Mitteilung ein. "Eine Race Condition betrifft die AWS4-HMAC-(kompatibel mit S3)-Autorisierungsmethode der HTTP-Komponente des FTP-Servers. Der Server prüft zunächst die Existenz eines Users durch den Aufruf von login_user_pass(), ohne, dass ein Passwort nötig wäre. Das authentifiziert die Session durch den HMAC-Verifikationsprozess bis zu dem Zeitpunkt, zu dem der Server die User-Verifikation nochmals prüft. Die Schwachstelle lässt sich stabiler ausnutzen, ohne erfolgreich eine Race-Condition gewinnen zu müssen, indem ein verstümmelter AWS4-HMAC-Header gesendet wird."
Die Autoren erklären weiter: "Durch lediglich einer Angabe eines Nutzernamens und einem nachfolgenden Slash ('/') findet der Server einen Nutzernamen, was den 'erfolgreich authentifziert-Prozess' anstößt. Der Server findet den erwarteten 'SignedHeaders'-Eintrag dann nicht, was in einen 'Index-out-of-Bounds'-Fehler mündet, was den Code davon abhält, die Session-Cleanup-Routinen zu erreichen. Zusammen führt das zu einer trivialen Möglichkeit, sich als jedweder bekannter oder erratbarer Nutzer wie 'crushadmin' anzumelden, was zu einer vollständigen Kompromittierung des Systems durch Erlangen eines administrativen Zugangs führen kann" (CVE-2025-31161, CVSS 9.8, Risiko "kritisch").
Die US-amerikanische IT-Sicherheitsbehörde CISA hat auch den neuen CVE-Eintrag umgehend in die Datenbank der bekannten missbrauchten Schwachstellen (Known Exploited Vulnerabilities) aufgenommen. Die aktualisierten Softwareversionen sollten IT-Verantwortlich umgehend installieren, sofern das noch nicht geschehen ist. "CrushFTP-Instanzen sollten innerhalb eines Tages eine Benachrichtigung über eine neue Version anzeigen, sofern der Zugriff auf die Update-Server nicht blockiert wurde", schreiben die Autoren dazu auf der CrushFTP-Webseite.
(
Kommentare