CrushFTP Zero-Day: Hacker nutzen Sicherheitslücke aus, um Server zuübernehmen
Sicherheitsforscher von watchTowr Labs haben eine Sicherheitslücke entdeckt, die es Hackern ermöglicht,über die Weboberfläche von CrushFTP Administratorrechte zu erlangen.
(PresseBox) - CrushFTP ist ein weit verbreiteter Dateiübertragungsserver und steht derzeit im Visier von Hackern. Sie nutzen eine Zero-Day-Sicherheitslücke, die unter der Nummer CVE-2025-54309 erfasst wurde, wie das Cybersicherheitsunternehmen watchTowr Labs berichtet. Die Sicherheitslücke wurde bereits am 22. Juli 2025 in den CISA Known Exploited Vulnerabilities Catalogue aufgenommen, wodurch ihr kritischer Status bestätigt wurde.
Die Untersuchung von watchTowr Labs ergab, dassüber 30.000 Online-Instanzen der Software anfällig für die derzeit laufenden Angriffe sein könnten. In einer offiziellen Erklärung bestätigte CrushFTP, dass die Schwachstelle bereits seit dem 18. Juli 2025 in freier Wildbahn ausgenutzt worden war. Das Unternehmen betonte zugleich,dass die Schwachstelle in den aktuellen Softwareversionen bereits geschlossen sei. Offenbar hatten Hacker herausgefunden, wie sich der Fehler ausnutzen lässt, nachdem das Unternehmen kürzlich eine Codeänderung zur Behebung eines anderen Problems vorgenommen und dabei unbeabsichtigt die Lücke für Angreifer offengelegt hatte.
Entdeckt wurden die Angriffe durch die Nutzung des hauseigenen Honeypot-Netzwerks von watchTowr Labs. Durch einen speziellen Sensor für CrushFTP konnten die Sicherheitsforscher auch den Ablauf der Attacke genau nachverfolgen, denn dieser schlug sofort Alarm, wenn er von den Hackern überwunden wurde. Die Analyse des Netzwerkverkehrs ergab ein eindeutiges Muster: Zwei ähnliche HTTP-Anfragen wurden in schneller Folge gesendet und über 1.000-mal wiederholt. Der wesentliche Unterschied zwischen den beiden Anfragen lag in ihren Headern.
Die erste Anfrage enthielt einen Header, der auf den internen Administrator-Benutzer„crushadmin“ verwies, während die zweite Anfrage keinen solchen Header enthielt. Dieses Verhalten deutete auf eine Race Condition hin, die auftritt, wenn zwei Aufgaben um Ressourcen konkurrieren und das Ergebnis davon abhängt, welche Aufgabe zuerst abgeschlossen wird. In diesem Fallwurden die beiden Anfragen gleichzeitig verarbeitet. Wenn die Anfragen in einer bestimmten Reihenfolge eingingen, konnte die zweite Anfrage die erste ausnutzen und ohne ordnungsgemäße Authentifizierung als Benutzer „crushadmin“ ausgeführt werden, da der Server den Angreifer füreinen Administrator hielt. So konnten die Hacker die Authentifizierung umgehen und die vollständige Kontrolle über den Server übernehmen, sensible Dateien abrufen und erheblichen Schaden anrichten.
Der Angriff erfolgtüber die Webschnittstelle der Software in Versionen vor CrushFTP v10.8.5 und CrushFTP v11.3.4_23. Unternehmenskunden, die eine DMZ-CrushFTP-Instanz zur Isolierung ihres Hauptservers verwenden, sind vermutlich nicht betroffen.
Um ihre Ergebnisse zu bestätigen, haben die Sicherheitsforscher ein eigenes Skript erstellt, um den Angriff zu replizieren und konnten so erfolgreich ein neues Administratorkonto auf einer anfälligen Instanz erstellen.
Den Erkenntnissen der Sicherheitsforscher zufolge haben die Entwickler von CrushFTP das Problem mittlerweile durch Updates behoben– ohne jedoch eine Warnung an die Nutzer herauszugeben. Viele Nutzer sind also weiterhin dem Risiko eines Angriffs ausgesetzt, wenn sie das Update noch nicht durchgeführt haben. Angesichts der Tatsache, dass Hacker die Sicherheitslücke aktiv ausnutzen, eigentlich ein Unding. Das zeigt einmal mehr, wie wichtig es ist, jedes einzelne Update zeitnah durchzuführen, denn oft spielt sich im Hintergrund mehr ab, als die Nutzer wissen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam einökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Datum: 03.09.2025 - 10:21 Uhr
Sprache: Deutsch
News-ID 2195133
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Felicitas KrausJulia Olmscheid
Stadt:
Neustadt an der Weinstraße
Telefon: +49 (30) 30308089-14+49 6321 484460
Kategorie:
Dieser Fachartikel wurde bisher 1 mal aufgerufen.
Der Fachartikel mit dem Titel:
"CrushFTP Zero-Day: Hacker nutzen Sicherheitslücke aus, um Server zuübernehmen"
steht unter der journalistisch-redaktionellen Verantwortung von
8com GmbH&Co. KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).