[English]Jemand aus der Blog-Leserschaft, der das Programm CrushFTP zum Dateitransfer verwendet? Seit Juli 2025 ist die Schwachstelle CVE-2025-54309 bekannt und gefixt. Nun ist mir eine Meldung untergekommen, dass Hacker die Schwachstelle über Exploits adressieren.
Was ist CrushFTP?
CrushFTP ist ein ursprünglich 1999 entwickeltes(r) proprietärer Multiprotokoll- und Multiplattform-Dateiübertragungsserver, der als Shareware mit einem abgestuften Preismodell angeboten wird. Das Produkt richtet sich an Heimanwender bis hin zu Unternehmensanwendern. Der Hersteller bewirbt das Produkt als "Enterprise grade File-Transfer"-Lösung, die ist eine extrem leistungsfähige, einfach zu bedienende Lösung, die auf fast allem läuft: macOS 10.9+/11/12+, Win2012+, Linux, Solaris, BSD, Unix, etc! Es werden auch Clients als Apps für Android und iOS angeboten.
CrushFTP unterstützt die Protokolle FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV und WebDAV SSL. Darüber hinaus verfügt es über AJAX/HTML5- und Java-Applet-Webschnittstellen, über die Endbenutzer ihre Dateien über einen Webbrowser verwalten können.
CrushFTP verwendet eine grafische Benutzeroberfläche für die Verwaltung, lässt sich aber auch als Daemon unter Mac OS X, Linux, Unix und als Dienst unter Windows installieren.
CrushFTP unterstützt Multihoming, mehrere Websites mit unterschiedlichem Branding, Konfigurationsänderungen im laufenden Betrieb, Umleitung von Anhängen und GUI-basierte Verwaltung von Benutzern und Gruppen über einen Browser. Es sind Plugins für die Authentifizierung gegenüber SQL-Datenbanken, LDAP, Active Directory und anderen benutzerdefinierten Methoden enthalten. Alle Einstellungen werden in XML-Dateien gespeichert, die direkt oder über die Web-UI bearbeitet werden können. Bei direkter Bearbeitung bemerkt CrushFTP die Änderung des Zeitstempels und lädt die Einstellungen sofort, ohne dass ein Serverneustart erforderlich ist.
Die Schwachstelle CVE-2025-54309 in CrushFTP
Ich hatte zum 19. Juli 2025 im Beitrag CrushFTP mit 0-Day-Schwachstelle CVE-2025-54309 berichtet, dass eine 0-Day-Schwachstelle in der Software existiert. Crush FTP 10.8.5 und höher sowie 11.3.4_23 und höher weisen diese Schwachstelle nicht auf. Eine Analyse der Schwachstelle findet sich hier.
In meinem Blog-Beitrag hatte ich erwähnt, dass deutsche Nutzer erfolgreich über die Schwachstelle angegriffen wurden. Nun lese ich in nachfolgendem Tweet, dass Hacker die kritische Sicherheitslücke CVE-2025-54309 (CVSS: 9) in CrushFTP ausnutzen, um sich über HTTPS vollständigen Administratorzugriff zu verschaffen.
Angreifer können sensible Dateien stehlen, schädliche Dateien platzieren und Chaos anrichten. Ein Proof of Concept (PoC) von WatchTowr Labs findet sich inzwischen auf GitHub. ZoomEye hat 193.000 verwundbare CrushFTP-Instanzen im Internet gefunden. In Deutschland reden wir über um die 10.000 Instanzen – meist irgendwelche Cloud-Angebote. Sofern jemand betroffen ist und kompromittiert wurde, findet er im verlinkten Hersteller-Support Wiki Hinweise, was er machen soll.
MVP: 2013 – 2016
Die Schwachstelle wird mindestens seit dem Tag des Bekanntwerdens ausgenutzt. Mehrere unserer Kunden setzen CrushFTP ein. Bereits am frühen Morgen war eine Installation kompromittiert, bevor der Hersteller überhaupt eine Meldung an seine Kunden herausgegeben hatte. Dabei wurde ein Benutzer zum Admin gemacht und das Kennwort geändert. Der Angriff dauerte weniger als 5 Sekunden, das ging aus dem Log hervor, sodass ich annehme, dass das bereits damals automatisiert geschah.