In CrushFTP, einer Datentransfer-Software, wurde eine schwerwiegende Sicherheitslücke entdeckt. Sie ermöglicht Angreifern aus dem Netz unbefugten Zugriff. Updates zum Schließen der Lücke stehen bereit.
In dem CVE-Schwachstelleneintrag zum CrushFTP-Sicherheitsleck findet sich nur eine knappe Beschreibung: CrushFTP in den Versionen 10.0.0 bis 10.8.3 und 11.0.0 bis 11.3.0 ist von einer Schwachstelle betroffen, die in nicht authentifiziertem Zugriff münden kann. HTTP-Anfragen ohne Authentifizierung aus dem Netz an CrushFTP ermöglichen Angreifern, nicht autorisierten Zugriff zu erlangen (CVE-2025-2825, CVSS 9.8, Risiko "kritisch").
Detailliertere Informationen liefert der Hersteller jedoch nicht. Auch auf der Update-Webseite von CrushFTP gibt es nur knappe Ergänzungen. Die Schwachstelle wurde im Rahmen einer "Responsible Disclosure" gemeldet. Es seien auch keine Angriffe in freier Wildbahn darauf bekannt. Sofern die DMZ-Funktion in CrushFTP genutzt werde, sei die Software jedoch nicht verwundbar.
Das Unternehmen drängt Admins, umgehend auf die Versionen 10.8.4 sowie 11.3.1 oder jeweils neuere zu aktualisieren. Dazu gibt es gegebenenfalls eine Option für automatische Updates in den Einstellungen, die durch einen manuell zu ergänzenden Eintrag in der prefs.XML-Datei ab CrushFTP 11.2.3_19 verfügbar ist und "daily_check_and_auto_update_on_idle" lautet. Unter Windows gibt es dabei jedoch unter Umständen einen Bug. IT-Verantwortliche finden die aktualisierten Software-Pakete zudem auf der Download-Seite von CrushFTP – das scheint die zuverlässigste Variante zum Anwenden des Updates zu sein.
Cyberkriminelle zeigen Interesse an Datentransfer-Software, da sie darüber oftmals an sensible Informationen gelangen können, mit denen sie angegriffene Unternehmen um Lösegeld erpressen. Etwa die Cybergang Cl0p hatte über solch eine Software (MOVEit Transfer) Daten von hunderten, teils namhaften Unternehmen abgezogen und versucht, von ihnen Geld abzupressen.
CrushFTP steht auf der Liste von bösartigen Akteuren, die versuchen, Sicherheitslücken darin anzugreifen. Ende des vergangenen Aprils haben IT-Sicherheitsforscher etwa Attacken auf eine Schwachstelle in der Datentransfer-Software beobachtet. In Deutschland ließen sich hunderte Instanzen der Software aus dem Internet erreichen.
(
Kommentare