Monsta FTP: Kritische Lücke ermöglicht Angreifern Schadcode-Ausführung

In der Web-basierten Datentransfer-Software Monsta FTP klafft eine Sicherheitslücke. Angreifer können dadurch Schadcode einschleusen und ausführen. Ein Update steht bereit.

Die Schwachsstellenbeschreibung lautet: „Monsta FTP 2.11 und frühere Versionen enthalten eine Schwachstelle, die nicht authentifizierten Nutzern das Hochladen beliebiger Dateien erlaubt. Der Fehler ermöglicht Angreifern, Code auszuführen, indem sie speziell präparierte Dateien von einem bösartigen (S)FTP-Server hochladen“ (CVE-2025-34299, CVSS4 9.3, Risiko „kritisch“).

Schwachstellen-Analyse führt zu Stirnrunzeln

Die IT-Forscher von watchtowr haben die Lücke entdeckt und eine Analyse mit viel Augenzwinkern dazu veröffentlicht. Von Monsta FTP finden sich mindestens 5000 aus dem Internet zugreifbare Instanzen. Damit kann man etwa auf Inhalte eines externen (S)FTP-Servers zugreifen – Dateien lesen, schreiben und verändern, mit einem nutzerfreundlichen Interface. Die Nutzerbasis besteht etwa aus Finanzinstituten, Unternehmen und auch überambitionierten Einzelnutzern. Für Angreifer ist die Software auch deshalb interessant, da sie in PHP programmiert sei, frotzelt watchtowr.

Interessierte können dort eine Untersuchungskette verfolgen, die von der nicht ganz taufrischen Version 2.10.4 von Monsta FTP ausgeht – aktuell ist der 2.11er-Entwicklungszweig –, da ein großer Teil des Internets nicht die aktuelle Version einsetze. Darin fanden sich drei Sicherheitslücken, die bereits für die Version 2.10.3 bekannt waren. Daher haben die IT-Sicherheitsforscher sich den aktuellen 2.11er-Zweig angesehen, ob die Lücken darin abgedichtet waren.

Die Analysten fanden neue Funktionen im Programmcode, die Filterung etwa für Pfade nachrüsten. Proof-of-Concept-Code zum Missbrauch der SSRF-Schwachstelle CVE-2022-31827 – in Monsta FTP 2.10.3 – funktionierte jedoch immer noch. Die Analyse der Schwachstelle führte dann zur Entdeckung der neuen Sicherheitslücke, die das Ausführen von Schadcode ermöglicht – im Speziellen eine „Pre-Authentication Remote Code Execution“, also Ausführen von Schadcode aus dem Netz ohne vorherige Anmeldung.

Monsta FTP 2.11.3 vom 26. August 2025 soll diese Sicherheitslücke korrekt abdichten, erklärt watchtowr. Das Changelog von Monsta FTP schreibt zu dem Release lediglich „Resolved PHP 7.x compatibility issue“; abgedichtete Sicherheitslecks erwähnen die Entwickler nicht.

Datentransfer-Software mit Lücken: Liebling der Cybergangs

Datentransferlösungen wie Monsta FTP kommen etwa zur Verwaltung von Webseiten zum Einsatz, oder auch allgemeiner zum Datenaustausch. Cybergangs wie cl0p nutzen derartige Sicherheitslücken darin aus, um Daten in großem Stil zu kopieren und die betroffenen Unternehmen damit zu erpressen. Mitte 2023 hatte die kriminelle Vereinigung etwa durch eine Sicherheitslücke in MOVEit Transfer Daten bei vielen namhaften Unternehmen und Konzernen abgegriffen.

Erst vor wenigen Tagen ist auf der Darknet-Leaksite der cl0p-Bande die Washington Post als Opfer eines Datenabzugs aufgetaucht. Die Washington Post reagierte nicht auf unsere Anfragen dazu; die Täter nennen auch nicht den Umfang und die Art der angeblich kopierten Daten. Noch jünger ist der Eintrag zum Tastatur- und Maus-Hersteller Logitech. Auch hier fehlen etwaige Informationen zu Art und Umfang des Datendiebstahls oder gar eine Bestätigung seitens Logitech. Ob cl0p tatsächlich Daten bei den beiden namhaften Organisationen abgegriffen hat und durch welche Sicherheitslücke in welcher Software, ist derzeit vollkommen unklar.

Cybercrime und Ransomware sind keine Naturkatastrophen, denen man ohnmächtig gegenübersteht. Wer verstanden hat, wie die Angreifer ticken, welche Methoden sie einsetzen und wie die existierenden Schutzmöglichkeiten funktionieren, kann seine IT so absichern, dass deren Schutzmaßnahmen nicht beim ersten falschen Klick in sich zusammenstürzen. Genau dabei hilft das heise security Webinar Die Bedrohung durch Cybercrime – und wie man sich davor schützt.

(dmk)