CrushFTP: Attacken auf Admins möglich
Angreifer können in Logs von CrushFTP Schadcode verstecken. Dagegen gerüstete Versionen sind verfügbar.
(Bild: Artur Szczybylo/Shutterstock.com)
Die Dateiübertragungssoftware CrushFTP ist verwundbar. Sind Attacken erfolgreich, können Angreifer Systeme vollständig kompromittieren. Ein Sicherheitsupdate ist schon seit November dieses Jahres verfügbar. Informationen zur geschlossenen Schwachstelle wurden aber erst jetzt veröffentlicht.
Kritische Schadecode-LĂĽcke
Wer CrushFTP nutzt, sollte sicherstellen, dass Version 10.8.3 oder 11.2.3 installiert ist. FĂĽr CrushFTP 7, 8 und 9 ist der Support ausgelaufen und diese Ausgaben bekommen keine Sicherheitsupdates mehr. Wer noch so eine Version nutzt, sollte aus SicherheitsgrĂĽnden ein Upgrade durchfĂĽhren.
Weil Eingaben im Host Header fehlerhaft verarbeitet werden, kann ein Angreifer ohne Authentifizierung an der "kritischen" LĂĽcke (CVE-2024-11986) ansetzen. Im Zuge der Attacke kann er dauerhaft Schadcode im Web-Application-Log platzieren (Stored XSS). Ruft ein Admin das Log auf, wird der Schadcode ausgefĂĽhrt.
Ob es bereits Angriffe gibt, ist derzeit nicht bekannt. Unklar bleibt auch, woran Admins attackierte PCs erkennen können.
(des)
