Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Update: CrushFTP: Datenabfluss durch Schwachstelle

- Warnmeldung

Kriminelle nutzen eine Schwachstelle in der Dateiübertragungssoftware CrushFTP aus. Dadurch könnten sie die vollständige Kontrolle über einen CrushFTP-Server bekommen. Patches stehen zur Verfügung, die die Sicherheitslücke beheben.
File Transfer Protocol

© Adobe Stock

Die Warnmeldung wurde am 2. Mai 2024 aufgrund weiterführender Informationen aktualisiert. 

Ausbruch aus virtuellem Dateisystem möglich

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dieser Sicherheitslücke. Der Hersteller von CrushFTP berichtet, dass Kriminelle über die Schwachstelle aus dem virtuellen Dateisystem ausbrechen können. Dies ermöglicht die vollständige Kontrolle über verwundbare CrushFTP-Server. Dazu gehört der Zugriff auf Systemdateien und vertrauliche Daten. Laut NIST ist zudem eine RCE (remote code execution) möglich, wodurch Angreifende beliebige Programme auf dem Server ausführen können.

Betroffen sind alle Versionen von CrushFTP, die nicht auf Version 10.7.1 oder 11.1.0 aktualisiert sind.

Bewertung des BSI

Dass Angreifende einen verwundbaren CrushFTP-Server komplett übernehmen können, stellt ein sehr großes Schadenspotenzial dar. Die Vertraulichkeit von Daten ist dadurch überaus stark gefährdert. Berichte legen nahe, dass bereits Daten abgeflossen sind. Zu der sowieso schon sehr hohen Gefährdung kommen folgende Umstände hinzu:

  • Keine Authentifizierung erforderlich, um die Schwachstelle auszunutzen.
  • DMZ bietet keinen ausreichenden Schutz.

Ungepatchte CrushFTP-Instanzen werden auf breiter Front ausgenutzt.

Empfehlungen des BSI

Beachten Sie folgende Hinweise des BSI:

  • Aktualisieren Sie CrushFTP schnellstmöglich auf die sichereren Versionen 10.7.1 oder 11.1.0. Dies gilt auch für CrushFTP-Kunden, die eine DMZ nutzen. 
  • Da eine Ausnutzung nicht auszuschließen ist, sollten Sie nach der Aktualisierung vorsorglich alle Zugangsdaten auf dem System austauschen, insbesondere diejenigen von Administratoren wie "crushadmin".
  • Um einen Abfluss ungehashter Passwörter zu verhindern, aktivieren Sie das Hashen gespeicherter Passwörter.
  • Wenn Sie eine Enterprise-Lizenz besitzen, sollten Sie die Multi-Faktor-Authentifizierung aktivieren.
  • Laut Hersteller ist es kaum möglich ist, sicher eine Ausnutzung festzustellen. Logeinträge, die <INCLUDE enthalten, können auf eine Ausnutzung hindeuten. Generell wird empfohlen, Logs auf Auffälligkeiten zu prüfen.
  • Rapid7 empfiehlt die zusätziche Aktivierung des Limited-Server-Modus mit den restriktivsten Einstellungen.
  • Nutzen Sie die veröffentlichten Kompromittierungsindikatoren (IoCs).

Weitere Informationen