Angreifer nutzen kritische Lücke in ProFTPD aus

Posted on Posted in Hacker News

Wer den FTP-Server ProFTPD betreibt, muss handeln: Durch eine schwerwiegende Schwachstelle können Online-Ganoven beliebigen Code ausführen. Und das tun sie auch bereits.

In dem quelloffenen FTP-Server ProFTPD klafft eine kritische Lücke, durch die Angreifer beliebigen Code einschleusen und auf Dateien außerhalb der freigegebenen Verzeichnisse zugreifen können. Die Schwachstelle wird bereits von Cyber-Ganoven ausgenutzt, um Server zu kompromittieren. Fatal ist, dass der Angreifer nicht authentifiziert sein muss. Passende Exploits kursieren im Netz.

Die Lücke klafft im ProFTPD-Modul mod_copy. Ein Angreifer kann den Server über die Befehle SITE CPFR und SITE CPTO zum Beispiel anweisen, PHP-Code in das öffentlich zugängliche Verzeichnis des Webservers zu schreiben. Ruft er die Datei anschließend über ihre URL auf, wird der Code ausgeführt. Auch der Abtransport vorhandener Dateien wie etwa /etc/passwd ist durch die Lücke möglich.

Angriffe auf die Lücke tauchen wie folgt im Logfile des FTP-Daemons auf: proftpd[XXXXX] HOSTNAME (REMOTE_IP): error opening destination file '/var/www/datei.html' for copying: Permission denied. Allerdings loggt das Programm in der Standardkonfiguration nur fehlgeschlagene Angriffsversuche.

Abhilfe schafft ein Update auf die jüngst veröffentlichte Version 1.3.5. Auch den Versionszweig 1.3.4 haben die Entwickler abgesichert, die aktuelle Version lautet hier1.3.4e. Wer einen ProFTPD-Server betreibt, sollte ihn umgehend absichern – insbesondere dann, wenn er aus dem Internet erreichbar ist.

Quelle: heise.de

Exploit der im Netz kursiert!!

Facebooktwittergoogle_plus