CrushFTP hat seine Kunden über einer Schwachstelle in seiner Dateiübertragungssoftware informiert, die es Angreifenden ermöglichen könnte, aus dem virtuellen Dateisystem (VFS) auszubrechen und Systemdateien herunterzuladen. Auch das BSI warnt.
Diese Schwachstelle, gekennzeichnet als CVE-2024-4040 mit einem CVSS-Score von 7.7, gefährdet alle CrushFTP Instanzen, die über ein exponiertes Webinterface verfügen. Es wurde bestätigt, dass auch nicht authentifizierte Angreifende diese Schwachstelle ausnutzen können, was die Kritikalität deutlich erhöht.
Betroffene Versionen und Schutzmaßnahmen
Betroffen sind alle Produktversionen, die nicht auf CrushFTP 10.7.1 oder 11.1.0 aktualisiert wurden. Kunden, die einen DMZ Server vor der CrushFTP Instanz einsetzen, sind nach neuesten Informationen vom 22. April ebenfalls nicht vollständig geschützt.
Berichte über Angriffe und aktuelle Gefährdungslage
Das Cyber-Sicherheitsunternehmen CrowdStrike berichtete über erste, vermutlich politisch motivierte zielgerichtete Angriffe mit dieser Schwachstelle. Derzeit finden automatisierte Scans sowie eine breite aktive Ausnutzung der Schwachstelle statt.
Update 1 (nach Erkenntnissen von Sicherheitsforschenden von Rapid7)
Es ist möglich, dass Angreifende die komplette Kontrolle über einen verwundbaren CrushFTP Server erlangen können. Ein Proof-of-Concept Exploit sowie technische Details zur Schwachstelle sind öffentlich verfügbar. In Deutschland sind nach Untersuchungen der Shadowserver Foundation noch über 90 verwundbare CrushFTP Server im Einsatz.
Bewertung der Bedrohungslage
Die Schwachstelle stellt eine massive Bedrohung für die Vertraulichkeit der Daten einer Institution dar. Aufgrund von aktuellen Berichten über bereits stattgefundene Ausnutzungen könnte eine Exfiltration von Daten stattgefunden haben. Die Möglichkeit der kompletten Übernahme des Servers durch Angreifende erhöht das Schadenpotential, besonders im Hinblick auf die hohe Anzahl ungepatchter Systeme und die erschwerte Detektion einer Kompromittierung.
Empfohlene Maßnahmen
IT-Sicherheitsverantwortliche sollten schnellstmöglich auf die absichernden Versionen 10.7.1 oder 11.1.0 von CrushFTP aktualisieren. Zudem sollten alle Zugangsdaten auf dem System ausgetauscht werden, insbesondere die von Admin-Nutzern. Es wird empfohlen, das Hashen von gespeicherten Passwörtern zu aktivieren und, sofern möglich, die Multi-Faktor Authentifizierung zu aktivieren. IT-Sicherheitsverantwortliche sollten auch auf verdächtige Logs achten und ggf. ihre CrushFTP Server nach Empfehlungen von Rapid7 härten.
(lbr/BSI)