CrushFTP Schwachstelle erlaubt Download von Systemdateien

Table of Contents

Am 19. April 2024 hat CrushFTP, eine weit verbreitete Enterprise FTP-Client Lösung, eine kritische Sicherheitswarnung herausgegeben. In Versionen von CrushFTP v11 unterhalb von 11.1 wurde eine Schwachstelle entdeckt, die es Nutzern ermöglicht, aus dem virtuellen Dateisystem (VFS) auszubrechen und Systemdateien herunterzuladen. Diese Sicherheitslücke wurde in der neuesten Version 11.1.0 behoben.

Sicherheitsforscher von CrowdStrike haben bereits beobachtet, dass diese Schwachstelle gezielt ausgenutzt wird. Anwender, die ihre CrushFTP-Instanz hinter einer DMZ (Demilitarisierte Zone) betreiben, sind durch das dort implementierte Protokoll-Übersetzungssystem geschützt, allerdings wird allen Kunden dringend geraten, auf die neueste Version zu aktualisieren. CrushFTP hat auf seiner Website eine Anleitung veröffentlicht, wie Nutzer das Update durchführen können, einschließlich Schritte für ein Update ohne direkten Internetzugang.

Update: Rapid7 hat die Schwachstelle CVE-2024-4040 analysisert

Laut einer Analyse von Rapid7 ist die Schwachstelle CVE-2024-4040 vollständig unauthentifiziert und leicht auszunutzen. Ursprünglich als willkürlicher Dateileseschwachstelle eingestuft, wurde später festgestellt, dass sie am besten in die Kategorie der serverseitigen Vorlageninjektion (SSTI) passt. Unauthentifizierte HTTPS-Anfragen an das CrushFTP-Webinterface mit SSTI-Payloads können einen willkürlichen Dateilesen als Root, eine Authentifizierungsumgehung für den Administratorzugang und den Diebstahl aller auf der Instanz gespeicherten Dateien zur Folge haben.

Die Schwachstelle wurde bereits in freier Wildbahn ausgenutzt, wie Berichte von CrowdStrike und die Aufnahme in die CISA KEV bestätigen. Airbus CERT, die die Schwachstelle entdeckten, veröffentlichten am 23. April einen Proof-of-Concept-Code, der die Schwachstelle auslöst. Es wird geschätzt, dass über 5.200 CrushFTP-Instanzen öffentlich zugänglich sind und potenziell gefährdet sein könnten.

Related Posts

Integer Overflow Sicherheitslücke in Google Chrome

Ende 2023 wurde eine hoch kritische Sicherheitslücke in der Browser-Software Google Chrome aufgedeckt. Die Schwachstelle, bekannt unter der Kennzeichnung CVE-2023-6345, wurde durch die Sicherheitsforscher Benoît Sevens und Clément Lecigne von Googles Threat Analysis Group identifiziert.

Read More

Mitel SIP-Telefone und Konferenzeinheiten: kritische Schwachstellen

Mitel hat kürzlich fünf kritische Schwachstellen in verschiedenen Modellen der Mitel SIP-Telefone und in der Mitel 6970 Konferenzeinheit veröffentlicht. Diese Schwachstellen könnten es Angreifern ermöglichen, unautorisierte Aktionen auf den betroffenen Geräten durchzuführen, darunter das Ausführen von beliebigem Code und das Umgehen von Authentifizierungsmechanismen.

Read More

Befehlsinjektion bei Cisco Integrated Management Controller möglich

Eine Sicherheitslücke im Command Line Interface (CLI) des Cisco Integrated Management Controller (IMC) könnte es einem authentifizierten, lokalen Angreifer ermöglichen, eine Befehlsinjektion auf dem zugrunde liegenden Betriebssystem durchzuführen und Root-Rechte zu erlangen. Um die Schwachstelle ausnutzen zu können, muss der Angreifer über Leseberechtigungen oder höhere Privilegien auf einem betroffenen Gerät verfügen.

Read More