Kritische Sicherheitslücke in WS_FTP erlaubt Datei-Upload an beliebige Stellen

Der Hersteller Progress hat ein Service-Pack für den WS_FTP-Server herausgegeben, das eine als kritisch eingestufte Sicherheitslücke schließt. Administratorinnen und Administratoren, die WS-FTP einsetzen, sollten die Aktualisierung zeitnah anwenden.

Bei der Schwachstelle handelt es sich um einen Fehler, der das unbeschränkte Hochladen von Dateien erlaubt. Konkret erläutert Progress in der Sicherheitsmitteilung, dass für Ad-hoc-Übertragungen angemeldete Akteure API-Aufrufe so zusammenstellen können, dass sie ihnen ermöglichen, Dateien an angegebene Orte im unterliegenden Betriebssystem der WS_FTP-Server-Installation hochzuladen (CVE-2023-42659, CVSS 9.1, Risiko "kritisch").

WS_FTP: Temporäre Gegenmaßnahmen möglich

Abhilfe schaffe die Aktualisierung auf WS_FTP 8.7.6 sowie 8.8.4 und neuere Versionen. Wenn das Update kurzfristig nicht möglich ist, können IT-Verantwortliche das Ad-hoc-Transfer-Modul entfernen oder deaktivieren. Das wird als Teil der Standard-Installation mitinstalliert. Progress hat eine Anleitung bereitgestellt, die das zum Deaktivieren oder Entfernen des Moduls nötige Vorgehen erläutert.

Der Hersteller weist darauf hin, dass das Upgrade auf eine gepatchte Version mit dem "Full Installer" der einzige Weg ist, das Problem zu beseitigen. Während des Updates komme es zudem zu einem Aussetzer des Systems. Kunden mit noch laufender Maintenance erhalten das Upgrade nach Log-in in der Progress Community. Betroffene ohne gültigen Wartungsvertrag müssen bei Progress oder ihrem Progress-Partner dazu eine Verlängerung erstehen.

Mitte Oktober haben Cyberkriminelle einer Ransomware-Gang kurz zuvor mit Updates abgedichtete Schwachstellen in WS_FTP aktiv angegriffen, waren aber laut Sophos dabei nicht erfolgreich. IT-Verantwortliche sollten mit der Aktualisierung der Software daher nicht warten, sondern diese zügig vornehmen.

(dmk)