Vulnerabilidad de ejecución de código remoto en ProFTPD expone más de 1 millón de servidores
Más de un millón de servidores ProFTPD son vulnerables a la ejecución remota de código y ataques de divulgación de información podrían activarse, después de la explotación exitosa de una vulnerabilidad de copia de archivos arbitraria.
ProFTPd es un servidor FTP de código abierto y multiplataforma compatible con la mayoría de los sistemas y sistemas de tipo UNIX, y uno de los más populares orientados a las plataformas basadas en UNIX junto con Pure-FTPd y vsftpd.
Todas las versiones de ProFTPd hasta 1.3.5b inclusive, se ven afectadas por la vulnerabilidad que permite a los atacantes remotos ejecutar código arbitrario sin la necesidad de autenticarse y con los derechos de usuario del servicio ProFTPD, después de una explotación exitosa.
ProFTPd 1.3.6 fue liberado para parchar la falla
La falla de seguridad identificada como CVE- 2019- 12815 (Debian, SUSE, Ubuntu) fue identificada en el módulo mod_copy por Tobias Mädel y fue reportada al equipo de seguridad de ProFTPd el 28 de septiembre; con la versión de ProFTPd 1.3.6 que fue lanzada en 17 de julio fue parcheada.
“mod_copy se incluye en la instalación predeterminada de ProFTPd y se habilita de forma predeterminada en la mayoría de las distribuciones (por ejemplo, Debian)”, según la descripción de Mädel del error de control de acceso incorrecto. “Al emitir los comandos CPFR, CPTO a un servidor ProFTPd, los usuarios sin permisos de escritura pueden copiar cualquier archivo en el servidor FTP”
De acuerdo con el cazador de recompensas de ProFTPd, el problema estaba presente porque “los comandos personalizados SITE CPFR y SITE CPTO del módulo mod_copy no se cumplen como se espera en las configuraciones”.
Los administradores del servidor que no pueden instalar la versión 1.3.5 ProFTPd parcheada inmediatamente, para evitar posibles ataques pueden deshabilitar el módulo mod_copy en el archivo de configuración de ProFTPd como solución alternativa.
CERT-Bund, el Equipo de Respuesta a Emergencias Informáticas de Alemania, también ha emitido un aviso de seguridad hoy para alertar a los usuarios de ProFTPD de esta vulnerabilidad potencialmente crítica.
La vulnerabilidad de copia de archivo arbitraria encontrada en el módulo mod_copy de ProFTPD hasta 1.3.5b, está relacionada con la vulnerabilidad CVE-2015-3306 de 2015, que permitía a los atacantes remotos leer y escribir en archivos arbitrarios usando comandos ‘SITE CPFR’ y ‘SITE CPTO’.
Más de un millón de servidores ProFTPd sin parchear
Hay más de un millón de servidores ProFTPd no parcheados en este momento según una búsqueda de Shodan, mientras que solo cuatro parecen haber sido actualizados desde que se lanzó la versión ProFTPd 1.3.6.
El gran número de servidores vulnerables tiene el potencial de hacer que esta vulnerabilidad sea muy atractiva para el abuso, ya que los ciberdelincuentes utilizan exploits futuros para comprometer e infectar a todos los servidores sin parches con malware.
Los ciberdelincuentes están explotando los servidores vulnerables de Jira y Exim y los infectan con una nueva variante del troyano Watchbog Linux, y la red de bots resultante la utilizan para explotar la criptomoneda Monero.
El hecho de que la vulnerabilidad de inyección de plantillas de Jira CVE-2019-11581 a la que se dirigen estos atacantes se haya divulgado públicamente hace solo 12 días, es una prueba de la velocidad a la que los actores de amenazas están comenzando a abusar de las nuevas fallas de seguridad.
Línea de tiempo de la divulgación:
- 28.09.2018 Es eeportado a ProFTPd security@, ProFTPd solicita aclaraciones
- 12.06.2019 Reportado al equipo de seguridad de Debian, respuestas de Moritz & Salvatore
- 28.06.2019 Fecha límite para la divulgación pública anunciada el 28.07.2019
- 17.07.2019 Solución publicada por ProFTPd.