CrushFTP

Die Schwachstelle betrifft die HTTP-Komponente der Dateiübertragungssoftware CrushFTP von CrushFTP. Sie steckt in der AWS4-HMAC-Autorisierung, einem zu S3 kompatiblen Anmeldeverfahren. Beim Prüfen der Anmeldung ermittelt der Server zunächst, ob ein Benutzer existiert, und stellt die Sitzung dabei ohne Passwort als authentifiziert ein – erst danach soll eine erneute Kontrolle erfolgen. Genau in diesem Zeitfenster setzt der Angriff an: Über eine Wettlaufsituation, oder zuverlässiger durch einen manipulierten AWS4-HMAC-Header (nur Benutzername gefolgt von einem Schrägstrich), wird die Nachkontrolle umgangen, weil ein Fehler beim Verarbeiten des Headers die abschließende Sitzungsbereinigung verhindert. So kann ein nicht angemeldeter Angreifer aus der Ferne die Anmeldung umgehen und sich als ein beliebiger bekannter oder erratbarer Benutzer ausgeben – etwa als das Verwaltungskonto crushadmin. Über dieses Konto lässt sich das gesamte System vollständig übernehmen. Wird eine vorgeschaltete DMZ-Proxy-Instanz betrieben, greift der Angriff nicht.