Vulnerabilidade no ProFTPD expõe servidores na Internet

Uma falha no servidor de FTP opensource ProFTPD pode ser explorada in-the-wild para copiar ficheiros para servidores vulneráveis e potencialmente executar código arbitrário.

O investigador de segurança Tobias Mädel descobriu uma vulnerabilidade no servidor FTP opensrouce ProFTPD que pode ser explorada para copiar ficheiros para servidores vulneráveis e potencialmente executar código arbitrário.

“Tobias Mädel has identified a vulnerability in ProFTPd’s mod_copy. mod_copy is supplied in the default installation of ProFTPd and is enabled by default in most distributions (e.g. Debian).” states the advisory.

O especialista explicou que o CVE-2019-12815 é tecnicamente muito semelhante ao CVE-2015-3306 no ProFTPD, mas a vulnerabilidade anterior é “muito mais perigosa”.

O ProFTPD é muito popular, é usado em muitas distribuições Linux e Unix, e pode encontrar-se no SourceForge, Samba e Linksys.

A vulnerabilidade, identificada como CVE-2019-12815, reside no módulo mod_copy que implementa comandos para copiar ficheiros e pastas no mesmo servidor sem a necessidade de primeiro transferir os dados para o cliente. Este módulo é ativado por padrão na maioria dos sistemas operativos.

“An arbitrary file copy vulnerability in mod_copy in ProFTPD up to 1.3.5b allows for remote code execution and information disclosure without authentication, a related issue to CVE-2015-3306.” states the advisorypublished by Mitre.

Para explorar a falha, o invasor precisa ter acesso à máquina de destino.

Consultando o Shodan e efetuando uma consulta para “ProFTPd Anonymous” (ou seja, servidores que permitem acesso anónimo), é possível encontrar mais de 28.000 potencialmente expostos.

A maioria dos servidores está nos Estados Unidos (9.443), seguida pela Alemanha (2.638) e pelo Japão (2.002). O invasor teria que se ligar ao servidor e tentar emitir um comando para determinar se está vulnerável.

Para Portugal foram identificados 204 hosts.