Am 19. April 2024 hat CrushFTP, eine weit verbreitete Enterprise FTP-Client Lösung, eine kritische Sicherheitswarnung herausgegeben. In Versionen von CrushFTP v11 unterhalb von 11.1 wurde eine Schwachstelle entdeckt, die es Nutzern ermöglicht, aus dem virtuellen Dateisystem (VFS) auszubrechen und Systemdateien herunterzuladen. Diese Sicherheitslücke wurde in der neuesten Version 11.1.0 behoben.
Sicherheitsforscher von CrowdStrike haben bereits beobachtet, dass diese Schwachstelle gezielt ausgenutzt wird. Anwender, die ihre CrushFTP-Instanz hinter einer DMZ (Demilitarisierte Zone) betreiben, sind durch das dort implementierte Protokoll-Übersetzungssystem geschützt, allerdings wird allen Kunden dringend geraten, auf die neueste Version zu aktualisieren. CrushFTP hat auf seiner Website eine Anleitung veröffentlicht, wie Nutzer das Update durchführen können, einschließlich Schritte für ein Update ohne direkten Internetzugang.
Update: Rapid7 hat die Schwachstelle CVE-2024-4040 analysisert
Laut einer Analyse von Rapid7 ist die Schwachstelle CVE-2024-4040 vollständig unauthentifiziert und leicht auszunutzen. Ursprünglich als willkürlicher Dateileseschwachstelle eingestuft, wurde später festgestellt, dass sie am besten in die Kategorie der serverseitigen Vorlageninjektion (SSTI) passt. Unauthentifizierte HTTPS-Anfragen an das CrushFTP-Webinterface mit SSTI-Payloads können einen willkürlichen Dateilesen als Root, eine Authentifizierungsumgehung für den Administratorzugang und den Diebstahl aller auf der Instanz gespeicherten Dateien zur Folge haben.
Die Schwachstelle wurde bereits in freier Wildbahn ausgenutzt, wie Berichte von CrowdStrike und die Aufnahme in die CISA KEV bestätigen. Airbus CERT, die die Schwachstelle entdeckten, veröffentlichten am 23. April einen Proof-of-Concept-Code, der die Schwachstelle auslöst. Es wird geschätzt, dass über 5.200 CrushFTP-Instanzen öffentlich zugänglich sind und potenziell gefährdet sein könnten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: