CrushFTP: Attacken auf Admins möglich
Angreifer können in Logs von CrushFTP Schadcode verstecken. Dagegen gerüstete Versionen sind verfügbar.
(Bild: Artur Szczybylo/Shutterstock.com)
Die Dateiübertragungssoftware CrushFTP ist verwundbar. Sind Attacken erfolgreich, können Angreifer Systeme vollständig kompromittieren. Ein Sicherheitsupdate ist schon seit November dieses Jahres verfügbar. Informationen zur geschlossenen Schwachstelle wurden aber erst jetzt veröffentlicht.
Kritische Schadecode-Lücke
Wer CrushFTP nutzt, sollte sicherstellen, dass Version 10.8.3 oder 11.2.3 installiert ist. Für CrushFTP 7, 8 und 9 ist der Support ausgelaufen und diese Ausgaben bekommen keine Sicherheitsupdates mehr. Wer noch so eine Version nutzt, sollte aus Sicherheitsgründen ein Upgrade durchführen.
Weil Eingaben im Host Header fehlerhaft verarbeitet werden, kann ein Angreifer ohne Authentifizierung an der "kritischen" Lücke (CVE-2024-11986) ansetzen. Im Zuge der Attacke kann er dauerhaft Schadcode im Web-Application-Log platzieren (Stored XSS). Ruft ein Admin das Log auf, wird der Schadcode ausgeführt.
Videos by heise
Ob es bereits Angriffe gibt, ist derzeit nicht bekannt. Unklar bleibt auch, woran Admins attackierte PCs erkennen können.
(des)
