CrushFTP

Die Schwachstelle betrifft die Server-Software CrushFTP von CrushFTP, die zur Dateiübertragung eingesetzt wird. Sie tritt auf, wenn die DMZ-Proxy-Funktion nicht verwendet wird: In dieser Konstellation wertet der Server die AS2-Validierung fehlerhaft aus. Dadurch entsteht ein ungeschützter alternativer Zugangsweg, über den ein Angreifer die vorgesehene Zugriffskontrolle umgeht. Ausnutzen lässt sich der Defekt aus der Ferne über die HTTPS-Schnittstelle, ohne dass gültige Zugangsdaten erforderlich sind. Im Ergebnis verschafft sich der Angreifer administrativen Zugriff auf den Server und damit die Kontrolle über die Dateiverwaltung und die dort abgelegten Daten. Betroffen sind Installationen, bei denen der Server direkt über HTTPS erreichbar ist und ohne die DMZ-Proxy-Funktion betrieben wird. Der Defekt wurde bereits aktiv für Angriffe ausgenutzt, was die Tragweite des unkontrollierten Administratorzugriffs unterstreicht.