Ein Appell an die Sicherheits-Community - Umgang mit der CrushFTP-Sicherheitslücke
Kommentar von Kristian Varnai, Senior Security Consultant von Outpost24
Die kürzlich veröffentlichte Schwachstelle CVE-2025-31161 in der Dateiübertragungssoftware CrushFTP ist technisch gravierend - und in ihrer Wirkung vor allem ein Beispiel für ein wachsendes Problem in der Sicherheitsbranche. Sie zeigt, dass die Bereitschaft, Verantwortung für IT-Sicherheit gemeinsam zu tragen, spürbar abnimmt. Die Sicherheitslücke ermöglicht Angreifern, durch eine fehlerhafte Implementierung der AWS4-HMAC-SHA256-Authentifizierung temporären Zugriff auf Benutzerkonten zu erlangen - bis hin zur vollständigen Systemübernahme durch persistente Sessions. Das ist keine theoretische Gefahr: Bereits jetzt verzeichnen Sicherheitsforscher mehr als 1.500 angreifbare Instanzen im Netz sowie erste Angriffe durch Threat-Actors.
Wenn Disclosure zur Schwachstelle wird
So gefährlich die Schwachstelle selbst ist - mindestens genauso problematisch ist der Umgang mit ihr. Outpost24 war mit CrushFTP im Dialog und verfolgte einen klassischen Coordinated-Disclosure-Ansatz. Doch ein anderes Unternehmen veröffentlichte unter einer zweiten CVE-Nummer (CVE-2025-2825) vorzeitig Details, inklusive Proof-of-Concept. Damit wurde aus der geplanten Pufferzeit für die Nutzer eine Einladung an Angreifer. Die Veröffentlichung kam einem Weckruf für Exploit-Entwickler gleich - bevor ein Großteil der Systeme gepatcht war.
Verantwortung braucht Abstimmung
Der Vorfall zeigt: Selbst bei bestmöglicher technischer Vorbereitung - inklusive Patch-Verfügbarkeit durch den Hersteller - kann mangelnde Abstimmung auf der Kommunikationsseite erheblichen Schaden anrichten. Transparenz ist wichtig, aber nicht um jeden Preis. Wer Schwachstellen offenlegt, trägt Mitverantwortung dafür, wie diese Informationen in Umlauf geraten; und in wessen Hände sie fallen. Einseitige Offenlegungen mögen kurzfristig Aufmerksamkeit bringen, untergraben aber das Vertrauen in eine Branche, die auf kooperative Prozesse angewiesen ist.
Ein Appell an die Sicherheits-Community
CrushFTP ist nicht der erste Fall dieser Art und wird auch nicht der letzte sein. Doch er verdeutlicht, wie wichtig es ist, sich wieder stärker auf koordinierte Abläufe zu besinnen. Responsible Disclosure ist kein Auslaufmodell, sondern aktueller denn je. Wer die Sicherheit von IT-Systemen verbessern will, muss sich auch an Kommunikationsspielregeln halten.Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Outpost24 unterstützt Unternehmen bei der Verbesserung ihrer Cyber-Resilienz mit einem umfassenden Angebot an CTEM-Lösungen (Continuous Threat Exposure Management). Die intelligente Cloud-Plattform von Outpost24 vereinheitlicht das Asset-Management, automatisiert die Schwachstellenbewertung und quantifiziert Cyber-Risiken im geschäftlichen Kontext. Führungskräfte und Sicherheitsteams auf der ganzen Welt vertrauen darauf, dass Outpost24 die wichtigsten Sicherheitsprobleme innerhalb ihrer Angriffsfläche identifiziert und priorisiert, um die Risikominderung zu beschleunigen. Outpost24 wurde 2001 gegründet und hat seinen Hauptsitz in Schweden und den USA. Weitere Niederlassungen befinden sich in Großbritannien, den Niederlanden, Belgien, Dänemark, Frankreich und Spanien.Besuchen Sie https://outpost24.com/ für weitere Informationen.
Sprengel & Partner GmbH
Lisa Dillmann
Nisterstraße 3
56472 Nisterau
outpost24(at)sprengel-pr.com
+49 2661 91260-0
https://www.sprengel-pr.com
Datum: 15.04.2025 - 12:20 Uhr
Sprache: Deutsch
News-ID 2166195
Anzahl Zeichen: 3155
Kontakt-Informationen:
Ansprechpartner: Patrick Lehnis
Stadt:
Berlin
Telefon: +49 160-3484013
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 201 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Ein Appell an die Sicherheits-Community - Umgang mit der CrushFTP-Sicherheitslücke"
steht unter der journalistisch-redaktionellen Verantwortung von
Outpost24 (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Der Trend zu Single Sign-On (SSO) ist ungebrochen: Unternehmen wollen ihren Mitarbeitern einen komfortablen Zugang zu immer mehr Cloud- und Unternehmensanwendungen ermöglichen. Doch mit dieser Verbreitung steigt auch das Risiko. Werden zentrale Zugänge kompromittiert, können Cyberkriminelle im sc
Specops führt "Verified ID" ein, um identitätsbasierte Angriffe am Service Desk zu verhindern ...
Das neue Produkt zur Identitätsprüfung integriert die Authentifizierung behördlich ausgestellter Dokumente und die biometrische Live-Verifizierung in die Workflows von Unternehmens-Service Desks, Passwort-Zurücksetzungen und Onboarding-Prozessen und deckt dabei mehr als 16.000 Dokumenttypen in Ã
Cyberrisiko als Geschäftsmodell: Warum Versicherer selbst zum Hochrisikoziel werden ...
Kommentar von Thomas Sonne, Channel Sales Director, Outpost24 Ein Cyberangriff auf einen Versicherer ist kein abstraktes Szenario, sondern ein operatives Risiko mit unmittelbaren Folgen für Kunden, Partner und den Geschäftsbetrieb. Ein erfolgreicher Angriff auf zentrale Systeme sorgt nicht nur
Weitere Mitteilungen von Outpost24
Effiziente IT-Security: Dr. Matthias Leuüber die Herausforderungen im Firewall-Management und die Rolle von Automatisierung ...
In einer Zeit, in der IT-Sicherheit immer komplexer wird und Unternehmen vor der Herausforderung stehen, Netzwerke zuverlässig zu schützen, spielt Automatisierung im Firewall- und Security-Management eine entscheidende Rolle. Dr. Matthias Leu, geschäftsführender Gesellschafter der AERAsec GmbH,
Fit for AI: Wie Datenwolken zu Informationsquellen werden ...
Die Hannover Messe hat es bestätigt: Viele Industrieunternehmen interessieren sich für den Einsatz von Künstlicher Intelligenz (KI) in Produktentwicklung, Automatisierung, vorausschauender Wartung, Qualitätssicherung oder Kundendienst. Doch der erfolgreiche Einsatz hängt entscheidend von der Qu
FORTEC Group erweitert ihre Produktionsstrategie für den US-Markt ...
Die FORTEC Group, ein führender Anbieter von Lösungen industrieller Display-, Embedded-, Systemlösungen und Stromversorgungen, ermöglicht europäischen Unternehmen mit Kunden in den USA eine optimierte Produktionskette. Durch die Kombination aus lokaler Fertigung in den Vereinigten Staaten und s
DUALIS und neuer Partner EDAG vereinfachen virtuelle Inbetriebnahme ...
Dresden, 15. April 2025 - Bevor die erste Schraube sitzt, läuft die Maschine bereits auf Hochtouren - zumindest virtuell. In modernen Fabriken spielt der Digital Twin eine Schlüsselrolle. Durch Simulation und virtuelle Inbetriebnahme (VIBN) lassen sich Maschinen und Prozesse schon vor dem realen A




