Nieuws
image

Ruim elfhonderd CrushFTP-servers missen update voor aangevallen lek

dinsdag 22 juli 2025, 14:44 door Redactie, 1 reacties

Ruim elfhonderd CrushFTP-servers missen een kritieke beveiligingsupdate voor een actief aangevallen kwetsbaarheid. Veertig van de kwetsbare servers staan in Nederland, aldus The Shadowserver Foundation. Eerder dit jaar werd een andere kwetsbaarheid in CrushFTP gebruikt voor het stelen van data bij allerlei organisaties.

CrushFTP bestaat al sinds 1998 en ondersteunt verschillende protocollen, zoals ftp, ftps, sftp, http, https, WebDAV en WebDAV SSL. Vorige week lieten de ontwikkelaars weten dat aanvallers misbruik van een kwetsbaarheid in oudere versies maken, aangeduid als CVE-2025-54309. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand admintoegang tot een CrushFTP-server krijgen en zo bijvoorbeeld bestanden stelen. De meest recente versies zijn niet kwetsbaar (10.8.5 en 11.3.4_23).

The Shadowserver Foundation is een stichting die op internet naar kwetsbare systemen scant om daarna eigenaren te waarschuwen. Na bekendmaking van de kwetsbaarheid werd naar kwetsbare CrushFTP-servers gescand. Dat leverde in eerste instantie 1040 kwetsbare servers op, maar inmiddels is dat naar 1115 ongepatchte servers gestegen. Veertig daarvan staan volgens The Shadowserver Foundation in Nederland. Het grootste deel bevindt zich in de Verenigde Staten.

Reacties (1)
Reageer met quote
Vandaag, 11:51 door Anoniem
Misschien moeten we het hardop zeggen: dit is geen technisch probleem meer, dit is een cultuurprobleem. Als je anno 2025 nog steeds geen goed patchbeleid hebt, dan neem je je eigen beveiliging gewoon niet serieus. En laten we eerlijk zijn: voor aanvallers is dit een feestje. Waarom zouden ze ingewikkelde zero-days ontwikkelen als organisaties vrijwillig hun systemen open laten staan?

Het wordt hoog tijd dat er consequenties komen voor nalatigheid. Niet als straf, maar als harde prikkel om eindelijk eens de basis op orde te krijgen. Want zolang we blijven accepteren dat organisaties maandenlang niet patchen, blijven we in dezelfde cirkel ronddraaien: kwetsbaarheid – aanval – schade – excuses. En intussen lopen criminelen lachend binnen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure