MÜNCHEN (IT BOLTWISE) – Die Sicherheitslücke in der Datentransfersoftware CrushFTP hat in der IT-Welt für Aufsehen gesorgt. Nachdem Angriffe auf diese Schwachstelle bekannt wurden, hat CrushFTP nun einen detaillierten CVE-Eintrag veröffentlicht, der die technischen Hintergründe und Risiken erläutert.
Die kürzlich entdeckte Sicherheitslücke in CrushFTP hat die IT-Sicherheitsgemeinschaft alarmiert. Die Schwachstelle, die eine Umgehung der Authentifizierung ermöglicht, wurde bereits aktiv ausgenutzt. CrushFTP hat daraufhin einen umfassenden CVE-Eintrag veröffentlicht, der die technischen Details der Lücke beschreibt.
Die Schwachstelle betrifft Versionen von CrushFTP vor 10.8.4 und 11.3.1 und ermöglicht es Angreifern, das ‘crushadmin’-Konto zu übernehmen, sofern keine DMZ-Proxy-Instanz genutzt wird. Diese Art von Angriff, bekannt als ‘nicht authentifizierter HTTP(s)-Port-Zugang’, wurde bereits im März und April 2025 beobachtet.
Im Kern der Schwachstelle liegt eine Race Condition in der AWS4-HMAC-Autorisierungsmethode des FTP-Servers. Der Server überprüft die Existenz eines Nutzers durch den Aufruf von login_user_pass(), ohne dass ein Passwort erforderlich ist. Dies führt zu einer unvollständigen Session-Authentifizierung, die durch das Senden eines manipulierten AWS4-HMAC-Headers stabiler ausgenutzt werden kann.
Die Autoren der Schwachstellenbeschreibung erklären, dass durch die Angabe eines Nutzernamens und eines nachfolgenden Slashes (‘/’) der Server einen Nutzernamen findet, was den ‘erfolgreich authentifiziert-Prozess’ auslöst. Dies führt zu einem ‘Index-out-of-Bounds’-Fehler, der den Code daran hindert, die Session-Cleanup-Routinen zu erreichen. Dadurch können Angreifer sich als bekannte Nutzer anmelden und das System vollständig kompromittieren.
Die US-amerikanische IT-Sicherheitsbehörde CISA hat den neuen CVE-Eintrag umgehend in ihre Datenbank der bekannten missbrauchten Schwachstellen aufgenommen. IT-Verantwortliche sollten die aktualisierten Softwareversionen schnellstmöglich installieren, um das Risiko einer Kompromittierung zu minimieren.
CrushFTP hat auf seiner Webseite betont, dass Instanzen innerhalb eines Tages eine Benachrichtigung über eine neue Version anzeigen sollten, sofern der Zugriff auf die Update-Server nicht blockiert wurde. Dies unterstreicht die Dringlichkeit, die Sicherheitslücke schnell zu schließen.
☕︎ Unterstütze IT BOLTWISE® und trete unserem exklusiven KI-Club bei - für nur 1,99 Euro im Monat:
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Chef de Rang (m/w/d) für unser italienisches Restaurant Ai Pero
Werkstudent (m/w/d) im Bereich Künstliche Intelligenz (KI)
Full-Stack Entwickler - KI / Architektur / Skalierbarkeit (m/w/d)
Softwareentwickler Künstliche Intelligenz (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Sicherheitslücke in CrushFTP: Details und Maßnahmen" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Sicherheitslücke in CrushFTP: Details und Maßnahmen" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Sicherheitslücke in CrushFTP: Details und Maßnahmen« bei Google Deutschland suchen, bei Bing oder Google News!