Am 19. April 2024 warnte CrushFTP seine Kunden vor einer Schwachstelle in seiner gleichnamigen Dateiübertragungssoftware. Demnach könnte es Angreifenden gelingen, aus dem virtuellen Dateisystem (VFS) auszubrechen und Systemdateien herunterzuladen. Angreifende könnten daher an vertrauliche Daten auf dem Server gelangen.

Betroffen sind alle Produktversionen, sofern diese nicht auf CrushFTP 10.7.1 oder 11.1.0 aktualisiert wurden. Kunden die einen DMZ Server vor der CrushFTP Instanz einsetzen, sollen nach neuem Stand vom 22. April ebenfalls nicht vollständig geschützt sein.

Die Schwachstelle mit der Kennung CVE-2024-4040 wurde mit einem CVSS-Score von 7.7 bewertet und gefährdet alle CrushFTP Instanzen mit exponierten Webinterface Port. Der Hersteller konnte dem BSI jedoch bestätigen, dass die Schwachstelle auch von nicht authentifizierten Angreifenden ausgenutzt werden kann, was die Kritikalität deutlich erhöht. Derzeit finden automatisierte Scans sowie eine breite aktive Ausnutzung statt.

Update 1:
Nach Erkenntnissen von Sicherheitsforschenden des Unternehmens Rapid7 ist es möglich, dass Angreifende die komplette Kontrolle über einen verwundbaren CrushFTP Server erlangen können. Ein Proof-of-Concept Exploit sowie technische Details zur Schwachstelle sind inzwischen öffentlich verfügbar. Gleichzeitig befinden sich in Deutschland nach Untersuchungen der Shadowserver Foundation noch über 90 verwundbare CrushFTP Server (Stand 28.04.2024).