Ein Appell an die Sicherheits-Community – Umgang mit der CrushFTP-Sicherheitslücke

Ob Zero-Day-Exploits oder Fehlkonfigurationen – Sicherheitslücken sind längst eine alltägliche Herausforderung. Entscheidend ist nicht nur, dass sie entdeckt werden, sondern wie mit den Erkenntnissen umgegangen wird. Zwischen koordinierter Offenlegung und der Gefahr von Angriffswellen auf ungeschützte Systeme ist eine Debatte entbrannt, die längst nicht mehr nur Fachkreise betrifft. Der jüngste Fall einer Schwachstelle in der Dateiübertragungssoftware CrushFTP zeigt die Schattenseiten unkoordinierter Veröffentlichung.

Kommentar von Kristian Varnai, Senior Security Consultant von Outpost24

Die kürzlich veröffentlichte Schwachstelle CVE-2025-31161 in der Dateiübertragungssoftware CrushFTP ist technisch gravierend – und in ihrer Wirkung vor allem ein Beispiel für ein wachsendes Problem in der Sicherheitsbranche. Sie zeigt, dass die Bereitschaft, Verantwortung für IT-Sicherheit gemeinsam zu tragen, spürbar abnimmt. Die Sicherheitslücke ermöglicht Angreifern, durch eine fehlerhafte Implementierung der AWS4-HMAC-SHA256-Authentifizierung temporären Zugriff auf Benutzerkonten zu erlangen – bis hin zur vollständigen Systemübernahme durch persistente Sessions. Das ist keine theoretische Gefahr: Bereits jetzt verzeichnen Sicherheitsforscher mehr als 1.500 angreifbare Instanzen im Netz sowie erste Angriffe durch Threat-Actors.

Wenn Disclosure zur Schwachstelle wird

So gefährlich die Schwachstelle selbst ist – mindestens genauso problematisch ist der Umgang mit ihr. Outpost24 war mit CrushFTP im Dialog und verfolgte einen klassischen Coordinated-Disclosure-Ansatz. Doch ein anderes Unternehmen veröffentlichte unter einer zweiten CVE-Nummer (CVE-2025-2825) vorzeitig Details, inklusive Proof-of-Concept. Damit wurde aus der geplanten Pufferzeit für die Nutzer eine Einladung an Angreifer. Die Veröffentlichung kam einem Weckruf für Exploit-Entwickler gleich – bevor ein Großteil der Systeme gepatcht war.

Verantwortung braucht Abstimmung

Der Vorfall zeigt: Selbst bei bestmöglicher technischer Vorbereitung – inklusive Patch-Verfügbarkeit durch den Hersteller – kann mangelnde Abstimmung auf der Kommunikationsseite erheblichen Schaden anrichten. Transparenz ist wichtig, aber nicht um jeden Preis. Wer Schwachstellen offenlegt, trägt Mitverantwortung dafür, wie diese Informationen in Umlauf geraten; und in wessen Hände sie fallen. Einseitige Offenlegungen mögen kurzfristig Aufmerksamkeit bringen, untergraben aber das Vertrauen in eine Branche, die auf kooperative Prozesse angewiesen ist.

Ein Appell an die Sicherheits-Community

CrushFTP ist nicht der erste Fall dieser Art und wird auch nicht der letzte sein. Doch er verdeutlicht, wie wichtig es ist, sich wieder stärker auf koordinierte Abläufe zu besinnen. Responsible Disclosure ist kein Auslaufmodell, sondern aktueller denn je. Wer die Sicherheit von IT-Systemen verbessern will, muss sich auch an Kommunikationsspielregeln halten.

Outpost24 unterstützt Unternehmen bei der Verbesserung ihrer Cyber-Resilienz mit einem umfassenden Angebot an CTEM-Lösungen (Continuous Threat Exposure Management). Die intelligente Cloud-Plattform von Outpost24 vereinheitlicht das Asset-Management, automatisiert die Schwachstellenbewertung und quantifiziert Cyber-Risiken im geschäftlichen Kontext. Führungskräfte und Sicherheitsteams auf der ganzen Welt vertrauen darauf, dass Outpost24 die wichtigsten Sicherheitsprobleme innerhalb ihrer Angriffsfläche identifiziert und priorisiert, um die Risikominderung zu beschleunigen. Outpost24 wurde 2001 gegründet und hat seinen Hauptsitz in Schweden und den USA. Weitere Niederlassungen befinden sich in Großbritannien, den Niederlanden, Belgien, Dänemark, Frankreich und Spanien.Besuchen Sie https://outpost24.com/ für weitere Informationen.

Firmenkontakt
Outpost24
Patrick Lehnis
Gierkezeile 12
10585 Berlin
+49 160-3484013
outpost24.com/de/

Pressekontakt
Sprengel & Partner GmbH
Lisa Dillmann
Nisterstraße 3
56472 Nisterau
+49 2661 91260-0

Startseite