Media Alert: Sicherheitslücke in CrushFTP ermöglicht Authentifizierungs-Bypass
ID: 2166379
Kritische Schwachstelle in weit verbreiteter File-Transfer-Software entdeckt
Über 7.524 Systeme weltweit potenziell gefährdet
Laut aktuellen Analysen der Sicherheitsforscher von Censys sind weltweit über 7.524 öffentlich erreichbare CrushFTP-Instanzen identifiziert worden, die potenziell anfällig für die Schwachstelle sind. Besonders betroffen sind Organisationen in den USA, Deutschland, Kanada, Russland und Großbritannien. Mehr als 900 Systeme ließen sich dabei sogar einer bestimmten Organisation zuordnen. Dazu zählten Unternehmen aus der Industrie, Logistik, dem Gesundheitswesen sowie Behörden und Bildungseinrichtungen.
Details zur Schwachstelle:
-Beschreibung: Durch eine fehlerhafte Verarbeitung des HTTP-Authorization-Header kann ein Angreifer ohne gültige Anmeldeinformationen Zugriff auf bekannte oder erratbare Benutzerkonten erhalten, einschließlich Administratorenkonten;
-Betroffene Versionen: CrushFTP-Versionen 10.0.0 bis 10.8.3 und 11.0.0 bis 11.3.0;
-Schweregrad: eingestuft mit einem CVSS-Score von 9.8 (kritisch).
Empfohlene Maßnahmen
Es wird dringend empfohlen, auf die neuesten Versionen 10.8.4 oder 11.3.1 zu aktualisieren, um diese Sicherheitslücke zu schließen. Sollte ein sofortiges Update nicht möglich sein, kann das Aktivieren der DMZ-Perimeter-Netzwerkoption als temporäre Lösung dienen.
Diese Schwachstelle wird aktiv ausgenutzt. Organisationen sollten daher umgehend handeln, um ihre Systeme zu schützen.
Unter https://censys.com/advisory/cve-2025-31161/ finden Sie weitere Informationen zu dieser Schwachstelle sowie eine Karte mit den Standorten der offengelegten CrushFTP-Instanzen.
Unternehmensinformation / Kurzprofil:
Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
censys(at)sprengel-pr.com
+49 (0) 26 61-91 26 0-0
https://www.sprengel-pr.com/
Datum: 16.04.2025 - 09:20 Uhr
Sprache: Deutsch
News-ID 2166379
Anzahl Zeichen: 2301
Kontakt-Informationen:
Ansprechpartner: Eugenia Kendrick
Stadt:
Ann Arbor
Telefon: +1-877-438-9159
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 219 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Media Alert: Sicherheitslücke in CrushFTP ermöglicht Authentifizierungs-Bypass"
steht unter der journalistisch-redaktionellen Verantwortung von
Censys, Inc.TM (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Mitte Mai hat CNN über einen Verdacht von US-Behörden berichtet. Demnach sollen Akteure, die mit dem Iran in Verbindung stehen, automatische Tankfüllstandsmesser (Automatic Tank Gauges, ATGs) an Tankstellen in den USA angegriffen haben. Dadurch konnten die Angreifer auf Geräte zugreifen, die üb
Censys untersucht im Internet exponierte Passwortmanager ...
Censys ARC, das Forschungsteam von Censys, hat die Internetpräsenz von fünf verschiedenen Passwortmanagern untersucht. Denn Passwortmanager speichern sensible Daten von Einzelpersonen, Unternehmen und anderen Organisationen. Wenn sie über das Internet öffentlich zugänglich sind, nicht vollstän
Censys schließt Partnerschaften für die Integration von Threat Intelligence-Daten in Security Operations ab ...
19. Mai 2026 - Censys, ein führender Anbieter im Bereich Internet Intelligence, Attack Surface Management und Threat Hunting, erweitert die Funktionen seiner Plattform für die Anwendung durch SOC-Teams. Dafür arbeitet das Unternehmen mit verschiedenen Partnern zusammen und hat neue Integrationen
Weitere Mitteilungen von Censys, Inc.TM
Censys auf der Cyber Threat Intelligence Conference 2025 in Berlin ...
Berlin, 15. April 2025 - Censys, Anbieter der führenden Internet Intelligence Platform für Threat Hunting und Attack Surface Management, ist als Aussteller auf der diesjährigen Cyber Threat Intelligence Conference des Verbands FIRST (Forum of Incident Response and Security Teams) vertreten. Die K
ManageEngine richtet erste erfolgreiche User Conference in Deutschland aus ...
ManageEngine, eine Geschäftssparte der Zoho Corporation und führender Anbieter von IT-Management-Lösungen für Unternehmen, hat in Zusammenarbeit mit seinem deutschen Vertriebspartner MicroNova am 27. März 2025 im Marriott Hotel City West in München zum ersten Mal in Deutschland erfolgreich sei
Hyland ernennt Malte Dieckelmann zum Senior Vice President Sales EMEA und APAC ...
Berlin, 15.04.2025 - Hyland, führender Anbieter von integrierten Lösungen für Content, Process und Application Intelligence und Entwickler der Content Innovation Cloud, ernennt Malte Dieckelmann zum Senior Vice President Sales EMEA und APAC und verstärkt seine globale Vertriebsorganisation mit w
Haufe und Schäffer-Poeschel Verlag starten eLibrary mit PubEngine ...
Die neue Schäffer-Poeschel und Haufe eLibrary ist das Angebot für Bibliotheken, Hochschulen und Unternehmen. Mit der Pubengine eLibrary liegt Studierenden und Arbeitnehmer:innen das Fach- und Lehrbuchangebot von Haufe und Schäffer-Poeschel jetzt auch digital vor. Mit der eLibrary bietet Schäf
