CrushFTP Zero-Day: Hacker nutzen Sicherheitslücke aus, um Server zu übernehmen

Die Untersuchung von watchTowr Labs ergab, dass über 30.000 Online-Instanzen der Software anfällig für die derzeit laufenden Angriffe sein könnten. In einer offiziellen Erklärung bestätigte CrushFTP, dass die Schwachstelle bereits seit dem 18. Juli 2025 in freier Wildbahn ausgenutzt worden war. Das Unternehmen betonte zugleich, dass die Schwachstelle in den aktuellen Softwareversionen bereits geschlossen sei. Offenbar hatten Hacker herausgefunden, wie sich der Fehler ausnutzen lässt, nachdem das Unternehmen kürzlich eine Codeänderung zur Behebung eines anderen Problems vorgenommen und dabei unbeabsichtigt die Lücke für Angreifer offengelegt hatte.

Entdeckt wurden die Angriffe durch die Nutzung des hauseigenen Honeypot-Netzwerks von watchTowr Labs. Durch einen speziellen Sensor für CrushFTP konnten die Sicherheitsforscher auch den Ablauf der Attacke genau nachverfolgen, denn dieser schlug sofort Alarm, wenn er von den Hackern überwunden wurde. Die Analyse des Netzwerkverkehrs ergab ein eindeutiges Muster: Zwei ähnliche HTTP-Anfragen wurden in schneller Folge gesendet und über 1.000-mal wiederholt. Der wesentliche Unterschied zwischen den beiden Anfragen lag in ihren Headern.

Die erste Anfrage enthielt einen Header, der auf den internen Administrator-Benutzer „crushadmin“ verwies, während die zweite Anfrage keinen solchen Header enthielt. Dieses Verhalten deutete auf eine Race Condition hin, die auftritt, wenn zwei Aufgaben um Ressourcen konkurrieren und das Ergebnis davon abhängt, welche Aufgabe zuerst abgeschlossen wird. In diesem Fall wurden die beiden Anfragen gleichzeitig verarbeitet. Wenn die Anfragen in einer bestimmten Reihenfolge eingingen, konnte die zweite Anfrage die erste ausnutzen und ohne ordnungsgemäße Authentifizierung als Benutzer „crushadmin“ ausgeführt werden, da der Server den Angreifer für einen Administrator hielt. So konnten die Hacker die Authentifizierung umgehen und die vollständige Kontrolle über den Server übernehmen, sensible Dateien abrufen und erheblichen Schaden anrichten.

Der Angriff erfolgt über die Webschnittstelle der Software in Versionen vor CrushFTP v10.8.5 und CrushFTP v11.3.4_23. Unternehmenskunden, die eine DMZ-CrushFTP-Instanz zur Isolierung ihres Hauptservers verwenden, sind vermutlich nicht betroffen.

Um ihre Ergebnisse zu bestätigen, haben die Sicherheitsforscher ein eigenes Skript erstellt, um den Angriff zu replizieren und konnten so erfolgreich ein neues Administratorkonto auf einer anfälligen Instanz erstellen.

Den Erkenntnissen der Sicherheitsforscher zufolge haben die Entwickler von CrushFTP das Problem mittlerweile durch Updates behoben – ohne jedoch eine Warnung an die Nutzer herauszugeben. Viele Nutzer sind also weiterhin dem Risiko eines Angriffs ausgesetzt, wenn sie das Update noch nicht durchgeführt haben. Angesichts der Tatsache, dass Hacker die Sicherheitslücke aktiv ausnutzen, eigentlich ein Unding. Das zeigt einmal mehr, wie wichtig es ist, jedes einzelne Update zeitnah durchzuführen, denn oft spielt sich im Hintergrund mehr ab, als die Nutzer wissen.