Kritische Einstufung

CrushFTP-Zero-Day: Hacker nutzen Schwachstelle aus

Sicherheitslücke, mcp-remote sicherheitslücke, rce angriff mcp-remote, remote code ausführung mcp, mcp-remote version 0.1.16, mcp-remote, Schwachstelle
LinkedInRedditWhatsAppPocket

Über 30.000 Instanzen des Dateiübertragungsservers CrushFTP sind von einer kritischen Sicherheitslücke betroffen. Hacker nutzen eine Race Condition aus, um Administratorrechte zu erlangen.

Cyberkriminelle nutzen eine Zero-Day-Schwachstelle in CrushFTP aus, um die Kontrolle über Dateiübertragungsserver zu übernehmen. Die unter CVE-2025-54309 registrierte Sicherheitslücke ermöglicht es Angreifern, über die Weboberfläche ohne gültige Anmeldedaten Administratorrechte zu erlangen, wie Sicherheitsforscher von watchTowr Labs berichten.

Anzeige

Kritische Einstufung durch US-Behörde

Die Schwachstelle wurde bereits am 22. Juli 2025 in den CISA Known Exploited Vulnerabilities Catalogue aufgenommen, ein deutliches Zeichen für ihre kritische Bedeutung. Nach Angaben von watchTowr Labs sind über 30.000 Online-Instanzen der Software potenziell verwundbar.

CrushFTP bestätigte in einer offiziellen Stellungnahme, dass die Sicherheitslücke seit dem 18. Juli 2025 aktiv ausgenutzt wird. Kurioserweise entstand die Schwachstelle durch eine Codeänderung, die eigentlich ein anderes Problem beheben sollte und dabei ungewollt eine neue Angriffsfläche schuf.

Honeypot deckt Angriffsmuster auf

Die Entdeckung gelang durch das Honeypot-Netzwerk von watchTowr Labs. Ein spezieller CrushFTP-Sensor schlug Alarm, als er von Hackern kompromittiert wurde, und ermöglichte so eine detaillierte Analyse des Angriffsvektors.

Anzeige

Das Angriffsmuster zeigt eine klassische Race Condition: Die Angreifer senden zwei nahezu identische HTTP-Anfragen in schneller Folge – über 1.000-mal wiederholt. Der entscheidende Unterschied liegt in den Headern: Die erste Anfrage enthält einen Verweis auf den internen Administrator-Account “crushadmin”, die zweite nicht.

Treffen beide Anfragen in der richtigen Reihenfolge beim Server ein, interpretiert dieser die zweite Anfrage fälschlicherweise als authentifiziert. Der Angreifer erhält so Administratorrechte, ohne gültige Zugangsdaten zu besitzen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Betroffene Versionen und Gegenmaßnahmen

Verwundbar sind alle CrushFTP-Versionen vor v10.8.5 und v11.3.4_23. Der Angriff erfolgt über die Webschnittstelle; Unternehmenskunden mit DMZ-isolierten Instanzen gelten als nicht betroffen.

Die Entwickler haben die Schwachstelle mittlerweile durch Updates geschlossen, allerdings ohne explizite Warnhinweise an die Anwender. Dies bedeutet, dass zahlreiche Installationen weiterhin verwundbar bleiben, solange die Updates nicht eingespielt wurden.

watchTowr Labs konnte den Exploit erfolgreich nachstellen und dabei auf einer anfälligen Instanz ein neues Administratorkonto anlegen.

(lb/8com)


Anzeige

Weitere Artikel

Milliardär-Liste: Oracle-Gründer Ellison holt zu Musk auf
Hackerboss auf der Flucht – Internationale Jagd
Von der Leyen: Altersgrenze für soziale Medien
Plex-Nutzer müssen nach Cyberangriff Kennwörter ändern
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.