O investigador de segurança Tobias Mädel descobriu uma vulnerabilidade no servidor FTP opensrouce ProFTPD que pode ser explorada para copiar ficheiros para servidores vulneráveis e potencialmente executar código arbitrário.
“Tobias Mädel has identified a vulnerability in ProFTPd’s mod_copy. mod_copy is supplied in the default installation of ProFTPd and is enabled by default in most distributions (e.g. Debian).” states the advisory.
O especialista explicou que o CVE-2019-12815 é tecnicamente muito semelhante ao CVE-2015-3306 no ProFTPD, mas a vulnerabilidade anterior é “muito mais perigosa”.
O ProFTPD é muito popular, é usado em muitas distribuições Linux e Unix, e pode encontrar-se no SourceForge, Samba e Linksys.
A vulnerabilidade, identificada como CVE-2019-12815, reside no módulo mod_copy que implementa comandos para copiar ficheiros e pastas no mesmo servidor sem a necessidade de primeiro transferir os dados para o cliente. Este módulo é ativado por padrão na maioria dos sistemas operativos.
“An arbitrary file copy vulnerability in mod_copy in ProFTPD up to 1.3.5b allows for remote code execution and information disclosure without authentication, a related issue to CVE-2015-3306.” states the advisorypublished by Mitre.
Para explorar a falha, o invasor precisa ter acesso à máquina de destino.
Consultando o Shodan e efetuando uma consulta para “ProFTPd Anonymous” (ou seja, servidores que permitem acesso anónimo), é possível encontrar mais de 28.000 potencialmente expostos.
A maioria dos servidores está nos Estados Unidos (9.443), seguida pela Alemanha (2.638) e pelo Japão (2.002). O invasor teria que se ligar ao servidor e tentar emitir um comando para determinar se está vulnerável.
Para Portugal foram identificados 204 hosts.
Tanto o Debian quanto o SUSE publicaram um alerta de segurança para a vulnerabilidade.
Os especialistas apontaram que a falha poderia permitir a execução remota de código apenas se o servidor tivesse uma determinada configuração.
“I’ve seen web servers using ProFTPd with PHP and anonymous access. In this scenario RCE is possible,” the expert told SecurityWeek.
Um patch que endereça a falha já está disponível ( versão 1.3.6).
Como solução alternativa, os administradores podem desativar o módulo mod_copy no ficheiro de configuração do ProFTPd.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.