Neues aus der IT-Welt

In der vergangenen Woche wurde eine als kritisches Risiko eingestufte Sicherheitslücke in der Datentransfer-Software CrushFTP bekannt. Nun beobachten IT-Sicherheitsforscher Angriffsversuche auf verwundbare Instanzen. Ein Proof-of-Concept-Exploit ist öffentlich verfügbar, den Kriminelle offenbar dafür einsetzen.

Die IT-Forscher von Rapid7 haben die Sicherheitslücke in CrushFTP untersucht. Sie haben dazu die Unterschiede zwischen den Versionsständen analysiert und sich dabei auf den Hinweis aus dem Changelog gestützt, der eine Schwachstelle in der Authentifizierung andeutete. Damit konnten sie einen Proof-of-Concept-Exploit entwickeln, der die Schwachstelle erfolgreich missbraucht.

Die IT-Forscher der Shadowserver Foundation haben seit Anfang der Woche Angriffsversuche auf die Schwachstelle CVE-2025-2825 entdeckt. Die Angriffe verbleiben seit Wochenanfang auf gleichem Niveau.

Hauptziele der Attacken liegen in Asien, den USA und Europa, wobei gestern die USA stärker in den Fokus der Angreifer rückten und Asien an zweiter Stelle kam.

Die Shadowserver Foundation durchstöbert das Netz auch nach verwundbaren Instanzen von CrushFTP. Seit einigen Tagen sinkt die Anzahl, es sind derzeit jedoch noch mehr als 1000 Systeme angreifbar. Der Großteil steht in den USA. Seit dem Dienstag dieser Woche liegt Deutschland nicht mehr an zweiter, sondern mit noch 105 verwundbaren CrushFTP-Instanzen an dritter Stelle.

Für die verwundbaren CrushFTP-Versionen 10.0.0 bis 10.8.3 und 11.0.0 bis 11.3.0 steht aktualisierte Software bereit, die IT-Verantwortliche umgehend installieren sollten, sofern das noch nicht geschehen ist. Andernfalls können Angreifer aus dem Netz mit dem öffentlichen Exploit ohne vorherige Authentifizierung Zugriff erlangen. Die Fehlerkorrekturen bringen die CrushFTP-Version 10.8.4 sowie 11.3.1 sowie neuere mit.

Update vom 08.04. 2025:
CrushFTP hat nun eine eigene, vollständigere Schwachstellenmeldung herausgegeben. CrushFTP schreibt auf der Webseite etwas aufgebracht dazu: "CVE-2025-0282 scheint eine CVE-Kopie zu sein, die automatisch von einem nicht damit in Verbindung stehendem Unternehmen ausgestellt wurde". Inzwischen räumt CrushFTP dort auch den öffentlichen Exploit der Lücke ein.

Die Beschreibung der Lücke im neuen CVE-Eintrag ist deutlich detaillierter. "CrushFTP vor Version 10.8.4 und 11.3.1 ermöglicht die Umgehung der Authentifizierung und die Übernahme des 'crushadmin'-Kontos (außer, eine DMZ-Proxy-Instanz wird genutzt), wie es in freier Wildbahn im März und April 2025 mißbraucht wurde, auch bekannt als 'nicht authentifizierter HTTP(s)-Port-Zugang'", leitet die Mitteilung ein. "Eine Race Condition betrifft die AWS4-HMAC-(kompatibel mit S3)-Autorisierungsmethode der HTTP-Komponente des FTP-Servers. Der Server prüft zunächst die Existenz eines Users durch den Aufruf von login_user_pass(), ohne, daß ein Passwort nötig wäre. Das authentifiziert die Session durch den HMAC-Verifikationsprozeß bis zu dem Zeitpunkt, zu dem der Server die User-Verifikation nochmals prüft. Die Schwachstelle läßt sich stabiler ausnutzen, ohne erfolgreich eine Race-Condition gewinnen zu müssen, indem ein verstümmelter AWS4-HMAC-Header gesendet wird."

Die Autoren erklären weiter: "Durch lediglich einer Angabe eines Nutzernamens und einem nachfolgenden Slash ('/') findet der Server einen Nutzernamen, was den 'erfolgreich authentifziert-Prozess' anstößt. Der Server findet den erwarteten 'SignedHeaders'-Eintrag dann nicht, was in einen 'Index-out-of-Bounds'-Fehler mündet, was den Code davon abhält, die Session-Cleanup-Routinen zu erreichen. Zusammen führt das zu einer trivialen Möglichkeit, sich als jedweder bekannter oder erratbarer Nutzer wie 'crushadmin' anzumelden, was zu einer vollständigen Kompromittierung des Systems durch Erlangen eines administrativen Zugangs führen kann" (CVE-2025-31161, CVSS 9.8, Risiko "kritisch").

Die US-amerikanische IT-Sicherheitsbehörde CISA hat auch den neuen CVE-Eintrag umgehend in die Datenbank der bekannten mißbrauchten Schwachstellen (Known Exploited Vulnerabilities) aufgenommen. Die aktualisierten Softwareversionen sollten IT-Verantwortlich umgehend installieren, sofern das noch nicht geschehen ist. "CrushFTP-Instanzen sollten innerhalb eines Tages eine Benachrichtigung über eine neue Version anzeigen, sofern der Zugriff auf die Update-Server nicht blockiert wurde", schreiben die Autoren dazu auf der CrushFTP-Webseite.