PUBLIC VISE : SERVEUR PROFTPD
Plus d'un million de serveurs ProFTPD sont vulnérables aux attaques à l'exécution de code à distance et à la divulgation d'informations qui pourraient être déclenchées après une exploitation réussie d'une vulnérabilité de copie de fichier arbitraire.
ProFTPd est un serveur FTP open-source et multiplate-forme prenant en charge la plupart des systèmes de type UNIX et Windows, et l'un des plus courants ciblant les plates-formes UNIX, ainsi que Pure-FTPd et vsftpd.
Toutes les versions de ProFTPd jusqu'à la version 1.3.6 incluse (la dernière version publiée en 2017) sont concernées par la vulnérabilité qui permet aux attaquants distants d'exécuter du code arbitraire sans avoir à s'authentifier et avec les droits d'utilisateur du service ProFTPD après une exploitation réussie.
Pas de correctif pour la faille
La faille de sécurité suivi comme CVE-2019- 12815 ( Debian , SUSE , Ubuntu ) a été identifié dans le module mod_copy par Tobias Mädel et il a été signalé à l'équipe de sécurité de ProFTPd le 28 Septembre, avec une solution ayant été publiée le 17 Juillet , mais pas patché la version est disponible pour le moment.
"mod_copy est fourni dans l'installation par défaut de ProFTPd et est activé par défaut dans la plupart des distributions (par exemple, Debian)", selon la description par Mädel du bogue de contrôle d'accès incorrect. "L’émission de commandes CPFR, CPTO sur un serveur ProFTPd permet aux utilisateurs sans autorisation d’écriture de copier un fichier sur le serveur FTP"
Selon le suiveur de bogues de ProFTPd , le problème est présent car "les commandes SITE CPFR et SITE CPTO personnalisées du module mod_copy ne sont pas honorées et les configurations ne sont pas attendues".
Les administrateurs de serveur souhaitant éviter des attaques potentielles doivent immédiatement désactiver le module mod_copy dans le fichier de configuration ProFTPd en guise de solution de contournement.
CERT-Bund, l'équipe allemande d'intervention en cas d'urgence informatique, a également publié aujourd'hui un avis de sécurité pour alerter les utilisateurs de ProFTPD de cette vulnérabilité potentiellement critique.
La vulnérabilité de copie de fichier arbitraire trouvée dans le module mod_copy de ProFTPD à 1.3.6 est liée au bogue CVE-2015-3306 de 2015 qui permettait à des attaquants distants de lire et d'écrire dans des fichiers arbitraires à l'aide de 'SITE CPFR' et 'SITE CPTO'. commandes.
Plus d'un million de serveurs ProFTPd vulnérables
Il existe actuellement plus d' un million de serveurs ProFTPd non corrigés, selon une recherche Shodan sans version corrigée disponible à ce jour sur le site Web. La dernière version - ProFTPd 1.3.6 - a été publiée il y a deux ans, en avril 2017.
Le grand nombre de serveurs vulnérables a le potentiel de rendre cette vulnérabilité très attrayante en matière d'abus, les mauvais acteurs utilisant des exploits futurs pour compromettre et infecter tous les serveurs non corrigés avec des logiciels malveillants.
Les pirates exploitent actuellement les serveurs vulnérables Jira et Exim et les infectent avec une nouvelle variante du cheval de Troie Watchbog Linux, le botnet résultant étant utilisé pour extraire la crypto-monnaie Monero.
Le fait que la vulnérabilité d'injection de modèle Jira CVE-2019-11581 ciblée par ces attaquants ait été révélée publiquement il y a à peine 12 jours témoigne de la rapidité avec laquelle les acteurs de la menace commencent à exploiter de nouvelles failles de sécurité.
Calendrier de divulgation:
-
28.09.2018 Signalé à ProFTPd security @, ProFTPd demande des éclaircissements
- 12.06.2019, rapport à l'équipe de sécurité Debian, réponses de Moritz & Salvatore
- 28.06.2019 Date limite de publication du 28.07.2019 annoncée
- 17.07.2019 Correctif publié par ProFTPd
Mise à jour du 23 juillet: une version précédente de l'article indiquait à tort que ProFTPd 1.3.6 avait été publié pour corriger la vulnérabilité CVE-2019-12815. Cette erreur est maintenant corrigée.
Source :bleepingcomputer
---***---
Commenter cet article