Milliónyi szervert veszélyeztet ez a biztonsági hiba

Legalább egymillió szerver lehet kiszolgáltatott internetes támadásoknak egy biztonsági rés következtében. Már a német CERT is aggódik.
 

A ProFTPD az egyik legnépszerűbb FTP-kiszolgáló, különösen a UNIX/Linux világában: több millió szerveren teljesít szolgálatot. Azonban az utóbbi napokban egy olyan sérülékenységére derült fény, amely jelentős mértékben kiszolgáltatottá tudja tenni az érintett rendszereket. 

A sebezhetőség korántsem új keletű, ugyanis arról a Tobias Mädel biztonsági kutató már 2018. szeptember 28-án értesítette a ProFTPd biztonsági csapatát. Ennek ellenére a patch-ek csak idén, július 17-én váltak elérhetővé. És ez még nem minden, ugyanis már az is kiderült, hogy a biztonsági hiba kapcsolatba hozható egy 2015-ben befoltozott biztonsági réssel (CVE-2015-3306). 

Könnyű kihasználni

A napokban megszüntetett sérülékenységről (CVE-2019-12815) a Biztonságportál Prémiumon keresztül már riasztást adtunk ki. Azóta a sebezhetőség veszélyességi besorolása megemelkedett, mivel kiderült róla, hogy tömegesen kihasználhatóvá válhat. A Shodan webes kereső szerint legalább egymillió olyan kiszolgáló kapcsolódik az internethez, amelyek sebezhetők a hiba által. 

A biztonsági rés legnagyobb kockázata, hogy a támadók számára mindenféle előzetes hitelesítés nélkül tesz lehetővé fájlmanipulációkat. Egyes esetekben jogosulatlan távoli kódfuttatáshoz és adatszivárgáshoz is hozzájárulhat. A problémát a mod_copy modul egyik összetevője tartalmazza, amely alapértelmezetten engedélyezett több disztribúció esetében is (egyebek mellett Debian alatt is). Speciálisan szerkesztett CPFR, CPTO parancsok hatására a támadók anélkül másolhatnak fájlokat, hogy írási joguk lenne. A sérülékenységen keresztül olyan jogosultsági szinten hajthatnak végre műveleteket, amivel a ProFTPD éppen rendelkezik.

A sebezhetőség miatt a német CERT-Bund is riasztást adott ki, és mielőbbi frissítésre sarkalja az üzemeltetőket. A szükséges patch-ek folyamatosan válnak elérhetővé. A biztonsági szakemberek azok számára, akik nem tudják rövid időn belül frissíteni a kiszolgálóikat, azt javasolják, hogy lehetőségek szerint tiltsák le a mod_copy modult, mivel ezzel is csökkenthetők a kockázatok.