Reading Time: 2 minutes

Uma falha no servidor de FTP opensource ProFTPD pode ser explorada in-the-wild para copiar ficheiros para servidores vulneráveis ​​e potencialmente executar código arbitrário.

O investigador de segurança Tobias Mädel descobriu uma vulnerabilidade no servidor FTP opensrouce ProFTPD que pode ser explorada para copiar ficheiros para servidores vulneráveis ​​e potencialmente executar código arbitrário.

“Tobias Mädel has identified a vulnerability in ProFTPd’s mod_copy. mod_copy is supplied in the default installation of ProFTPd and is enabled by default in most distributions (e.g. Debian).” states the advisory.

 

O especialista explicou que o CVE-2019-12815 é tecnicamente muito semelhante ao CVE-2015-3306 no ProFTPD, mas a vulnerabilidade anterior é “muito mais perigosa”.

O ProFTPD é muito popular, é usado em muitas distribuições Linux e Unix, e pode encontrar-se no SourceForge, Samba e Linksys.

A vulnerabilidade, identificada como CVE-2019-12815, reside no módulo mod_copy que implementa comandos para copiar ficheiros e pastas no mesmo servidor sem a necessidade de primeiro transferir os dados para o cliente. Este módulo é ativado por padrão na maioria dos sistemas operativos.

“An arbitrary file copy vulnerability in mod_copy in ProFTPD up to 1.3.5b allows for remote code execution and information disclosure without authentication, a related issue to CVE-2015-3306.” states the advisorypublished by Mitre.

 

Para explorar a falha, o invasor precisa ter acesso à máquina de destino.

Consultando o Shodan e efetuando uma consulta para “ProFTPd Anonymous” (ou seja, servidores que permitem acesso anónimo), é possível encontrar mais de 28.000 potencialmente expostos.

A maioria dos servidores está nos Estados Unidos (9.443), seguida pela Alemanha (2.638) e pelo Japão (2.002).  O invasor teria que se ligar ao servidor e tentar emitir um comando para determinar se está vulnerável.

Para Portugal foram identificados 204 hosts.

 

Tanto o Debian quanto o SUSE publicaram um alerta de segurança para a vulnerabilidade.

Os especialistas apontaram que a falha poderia permitir a execução remota de código apenas se o servidor tivesse uma determinada configuração.

“I’ve seen web servers using ProFTPd with PHP and anonymous access. In this scenario RCE is possible,” the expert told SecurityWeek.

Um patch que endereça a falha já está disponível ( versão 1.3.6).

Como solução alternativa, os administradores podem desativar o módulo mod_copy no ficheiro de configuração do ProFTPd.