Patch, Sicherheitsempfehlungen und IoCs Zero-Day-Exploit in CrushFTP entdeckt

Anbieter zum Thema

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Eine kritische Sicherheitslücke in CrushFTP erlaubt Angreifern, Admin-Zugriff zu erlangen und Systeme zu manipulieren. Die Schwachstelle wurde aktiv ausgenutzt, nachdem ein vorangegangener Patch per Reverse Engineering analysiert und umgangen wurde.

Vor wenigen Tagen entdeckte der Hersteller CrushFTP des gleichnamigen File Transfer Servers eine Zero-Day-Schwachstelle (CVE-2025-54309) in seiner Lösung. Diese wurde am 18. Juli ent­deckt, könnte aber schon länger vorhanden gewesen sein. Mittlerweile wird der Exploit aktiv von Cyberkriminellen ausgenutzt.

CrushFTP ist ein plattformübergreifender Server für sichere Dateiübertragung. Er unterstützt eine Vielzahl etablierter Protokolle, wie FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV und WebDAV SSL. CrushFTP gilt als besonders nutzerfreundliche Anwendung, die auf macOS, Win­dows, Linux, Unix, Solaris und vielen weiteren Betriebssystemen läuft. Eigenen Angaben zufolge wird CrushFTP bei tausenden Unternehmen weltweit eingesetzt.

Amazon bestätigt Datenschutzverletzung

Massive Moveit-Sicherheitslücke bedroht Konzerne

Hacker entdecken Schwachstelle durch Reverse Engineering

Bei der gefundenen Schwachstelle handelt es sich um CVE-2025-54309 (CVSS-Score 9.0). Betroffen davon sind die Versionen von CrushFTP 10.8.4 und darunter sowie 11.3.4_22 und darunter. Wie CrushFTP in seiner Stellungnahme erläutert, hätte ein früheres Software­update einen ande­ren Softwarefehler geschlossen, der genauso wie CVE-2025-54309 aus­genutzt werden konnte – nur wussten die Entwickler dies damals noch nicht. Der erste Fix habe auf ein Problem im Zusammenhang mit AS2 in HTTP(S) abgezielt. Auch die neue Sicherheits­lücke CVE-2025­54309 hat eine fehlerhafte AS2-Validierung als Ursache und führt dazu, dass Remote-Angreifer Zugriff auf Adminrechte über HTTPS erlangen. Laut CrushFTP hätten Hacker die Änderungen des Codes entdeckt, die mit dem Fix einhergingen, und diesen Code mittels Reverse Engineering nachgebaut. Dabei hätten sie CVE-2025-54309 entdeckt und heraus­ge­funden, wie die Schwach­stelle auszunutzen ist. So können sie alle Geräte, die nicht über den neuesten Patch dafür verfügen, ausnutzen.

Manipulierte .lnk-Dateien

ZDI entdeckt Zero-Day-Schwachstelle in Windows-Verknüpfungen

Schützt die Demilitarisierte Zone?

CrushFTP geht davon aus, dass CVE-2025-54309 in Builds vor dem 1. Juli vorhanden ist. Die neuesten Versionen der Lösung sind 10.8.5 und 11.3.4_23. Am 18. Juli stellte der Hersteller fest, das die Sicherheitslücke erstmals ausgenutzt wurde. Zwar seien CrushFTP zufolge Unterneh­mens­kunden, die ihre Architektur sicher segmentiert und ihren Hauptserver mit einer Demili­ta­risierten Zone (DMZ) versehen haben, nicht von der Sicherheitslücke betroffen. Doch der Her­steller Rapid7 bezweifelt, dass dies tatsächlich eine ausreichende Sicherheitsmaßnahme ist. Nutzer des Transfer-Dienstes sollten sich nicht auf die DMZ verlassen. Stattdessen betont der Security-Anbieter die Dringlichkeit, den Patch sofort zu installieren.

Bericht von Google

Zero-Day-Schwachstellen in Windows nehmen zu

Schutzmaßnahmen und IoCs

Kunden, die möglicherweise bereits angegriffen wurden, sollten die folgenden Wieder­herstellungsmaßnahmen umsetzen, wie sie von CrushFTP empfohlen werden:

• Stellen Sie einen früheren Standardbenutzer („default“) aus dem Backup-Verzeichnis wieder her, der vor dem vermuteten Angriff angelegt wurde. Öffnen Sie dafür den Ordner „CrushFTP/backup/users/MainUsers/“. Dort finden Sie dem Hersteller zufolge Sicherungsdateien für den Nutzer „default“. Um die entsprechenden ZIP-Dateien zu entpacken, benötigen Sie ein Pro­gramm wie 7-Zip, WinRAR, WinZip oder auf dem Mac das integrierte Entpackungs-Tool. Alternativ können Sie den Standardbenutzer löschen. Im nächsten Schritt erstellt CrushFTP automatisch einen neuen, dann könnten jedoch alte Einstellungen verloren gehen.

• Überprüfen Sie außerdem die Upload- und Download-Berichte auf verdächtige Daten­übertragungen. Dem Hersteller zufolge würde Cyberkriminelle Skripte aus früheren Exploits wiederverwenden, um Angriffe auf CrushFTP zu starten.

• Um sicherzugehen, dass keine unbemerkten Manipulationen erfolgt sind, wird empfohlen, den Systemzustand vom 16. Juli 2025 wiederherzustellen. Die meisten aktiven Angriffe wurden zwar erst am 18. Juli festgestellt, könnten aber bereits in der Nacht zuvor begonnen haben.

So können betroffene Kunden Schadcode oder manipulierte Benutzerkonfigurationen entfernen. Neben den Sicherheitsempfehlungen veröffentlicht CrushFTP auch Indicators of Compromise (IoCs):

• In der Datei „user.XML“ des Benutzers „default“ steht ein Eintrag namens „last_logins“. Das ist ungewöhnlich und deutet auf eine Manipulation hin.

• Der Benutzer „default“ hat unerwartet Admin-Rechte.

• Es wurden lange, zufällige Benutzer-IDs erstellt, die Sie nicht kennen, zum Beispiel „7a0d26089ac528941bf8cb998d97f408m“

• Es gibt neue Benutzer mit Admin-Rechten, die nicht von Ihnen stammen.

• In der Web-Oberfläche fehlen plötzlich Buttons und/oder ein regulärer Nutzer sieht plötzlich eine Admin-Schaltfläche.

• Die Versionsnummer von CrushFTP wurde gefälscht. Dies sei ein Trick der Hacker, um Nutzer in falscher Sicherheit zu wiegen. Sie können im Reiter „About“ die Funktion „Validate Hashes“ nutzen, um zu prüfen, ob Dateien verändert wurden.

Pwn2Own Berlin 2025

Sicherheitsforscher decken 28 Zero-Day-Schwachstellen auf

(ID:50488959)