[English]Jemand aus der Blog-Leserschaft, der das Programm CrushFTP zum Dateitransfer verwendet? Inzwischen haben sich mehrere Leser gemeldet (danke dafür), dass es Meldungen über eine 0-Day-Schwachstelle (CVE-2025-54309) gibt, die wohl auch schon ausgenutzt wird.
Anzeige
Was ist CrushFTP?
CrushFTP ist ein ursprünglich 1999 entwickeltes(r) proprietärer Multiprotokoll- und Multiplattform-Dateiübertragungsserver, der als Shareware mit einem abgestuften Preismodell angeboten wird. Das Produkt richtet sich an Heimanwender bis hin zu Unternehmensanwendern. Der Hersteller bewirbt das Produkt als "Enterprise grade File-Transfer"-Lösung, die ist eine extrem leistungsfähige, einfach zu bedienende Lösung, die auf fast allem läuft: macOS 10.9+/11/12+, Win2012+, Linux, Solaris, BSD, Unix, etc! Es werden auch Clients als Apps für Android und iOS angeboten.
CrushFTP unterstützt die Protokolle FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV und WebDAV SSL. Darüber hinaus verfügt es über AJAX/HTML5- und Java-Applet-Webschnittstellen, über die Endbenutzer ihre Dateien über einen Webbrowser verwalten können.
CrushFTP verwendet eine grafische Benutzeroberfläche für die Verwaltung, lässt sich aber auch als Daemon unter Mac OS X, Linux, Unix und als Dienst unter Windows installieren.
CrushFTP unterstützt Multihoming, mehrere Websites mit unterschiedlichem Branding, Konfigurationsänderungen im laufenden Betrieb, Umleitung von Anhängen und GUI-basierte Verwaltung von Benutzern und Gruppen über einen Browser. Es sind Plugins für die Authentifizierung gegenüber SQL-Datenbanken, LDAP, Active Directory und anderen benutzerdefinierten Methoden enthalten. Alle Einstellungen werden in XML-Dateien gespeichert, die direkt oder über die Web-UI bearbeitet werden können. Bei direkter Bearbeitung bemerkt CrushFTP die Änderung des Zeitstempels und lädt die Einstellungen sofort, ohne dass ein Serverneustart erforderlich ist.
0-Day-Schwachstelle CVE-2025-54309 in der Software
Blog-Leser Joshua hatte sich gestern per Mail gemeldet und schrieb unter dem Betreff CrushFTP 0-day exploit in the wild: "Wir selber setzen CrushFTP ebenfalls zur Bereitstellung verschiedener Dienste ein, in der Vergangenheit gab es bereits mehrfach Sicherheitslücken, aber das Produkt ist in dem Funktionsumfang quasi konkurrenzlos, da es weit über einen normalen FTP Server hinausgeht und zahlreiche Protokolle unterstützt." Ich war aber Freitag weitgehend offline. Blog-Leser Dennis F. hat sich am späten Nachmittag des 18. Juli 2025 (quasi eine Minute vor Joshua, danke an beide) bei mir per Mail gemeldet und schrieb: "vor 5 Minuten hat uns diese E-Mail erreicht":
Anzeige
There is a 0 day exploit being used against CrushFTP servers. Its critical if you have not been updating recently to update immediately.
10.8.5+ does not have this bug if you were updated as far as we can tell.
11.3.4_23+ does not have this bug as far as we can tell.
Der Hersteller schreibt in seiner Mail, dass man weitere Informationen im Wiki veröffentlicht, sobald er mehr erfahren und herausgefunden hat, was hier vor sich geht.
Auf der Seite zur Schwachstelle schreibt der Anbieter, dass Hacker offenbar den CrushFTP-Code per Reverse-Engineering analysiert und einen Fehler gefunden haben. Der Hersteller glaubt, dass diese Schwachstelle bereits in neueren Software-Versionen behoben ist und nur ältere Software in Versionen, die vor dem 1. Juli 2025 veröffentlicht wurde, vorhanden war.
Der Angriffsvektor bestand in HTTP(S)-Verbindungen, über den der Server angreifbar war. Die Entwickler haben vermutlich Anfang Juli 2025 ein anderes Problem im Zusammenhang mit AS2 in HTTP(S) behoben-Änderung bemerkt, den Code analysiert und einen Exploit für die Schwachstelle entwickelt. Betroffen sind folgende CrushFTP-Versionen:
- Alle Versionen 10 unter 10.8.5
- Alle Versionen 11 unter 11.3.4_23
Die Angreifer nutzen die Schwachstelle bei Systemen aus, die nicht auf dem neuesten Stand sind. Wer neuere Versionen verwendet, dürfte nicht betroffen sein.
Deutsche Nutzer erfolgreich angegriffen
In einer Nachtrags-Mail schrieb mir Dennis, dass die Entwicklungen hinsichtlich des CrushFTP 0-Day eskalieren. Der Wiki-Artikel des Herstellers weerd scheinbar fortlaufend um neue Informationen ergänzt. Und in der IT haben man "soeben festgestellt", dass die erste Kundeninstallation am Freitag (18.7.2025) um 11 Uhr erfolgreich angegriffen wurde.
Er merkte noch an, dass das Thema also für die Leser sehr dringlich sein könnte. Passt natürlich wunderbar, Freitag war ich größtenteils offline, weil andere Sachen an lagen – und mir Nachmittags die Mails wohl noch nicht angezeigt wurden. Inzwischen ist Wochenende und die meisten Administratoren sind nicht in der Firma.
Sofern jemand betroffen ist und kompromittiert wurde, findet er im verlinkten Hersteller-Support Wiki Hinweise, was er machen soll.
Anzeige
Was mich doch stark wundert, warum hat die Schwachstelle nur einen CVE Score von 9.0 erhalten?
Sie ist von außen ohne eine Interaktion des Zieles ausnutzbar, der Angreifer erhält volle administrative Berechtigungen und hat im Zweifel mindestens auf das gesamte Filesystem des Hosts Zugriff.
Die Installation unseres Kunden ist vorerst offline, trotz angeblichem Fix in Version 10.8.5 Build 12. Die Worte des Herstellers lassen noch einiges an Interpretationsspielraum. Eine klare Kommunikation sieht leider anders aus. Im Worst Case stellt sich nachher noch heraus, der Fix reichte leider nicht und das Spiel beginnt von neuem.
Immerhin sieht es derzeit danach aus, zumindest bei unserem Kunden, dass nach dem erfolgreichen Angriff „nur" die Kennwörter von den Benutzern default und admin zurückgesetzt wurden. Laut den Logs sind keine Daten exfiltriert worden.
Die Kompromittierung hat nur 8 Sekunden gedauert, lief also sehr wahrscheinlich automatisiert für viele Ziele zeitgleich ab.
Ich vermute stark, dass die Angreifer sich unter dem Radar möglichst viele Ziele „sichern" wollten und zu einem späteren Zeitpunkt aktiv hätten werden wollen.