Một nhà nghiên cứu bảo mật người Đức đã tiết lộ công khai chi tiết về lỗ hổng nghiêm trọng trong một trong những ứng dụng máy chủ FTP phổ biến nhất hiện đang được hơn một triệu máy chủ trên toàn thế giới sử dụng.
Phần mềm dễ bị tấn công là ProFTPD , một máy chủ FTP nguồn mở được sử dụng bởi một số lượng lớn các doanh nghiệp và trang web phổ biến bao gồm SourceForge, Samba và Slackware và được cài đặt sẵn nhiều bản phân phối Linux và Unix, như Debian.
Được phát hiện bởi Tobias Mädel , lỗ hổng nằm trong mô-đun mod_copy của ứng dụng ProFTPD, một thành phần cho phép người dùng sao chép tệp / thư mục từ nơi này sang nơi khác trên máy chủ mà không phải chuyển dữ liệu sang máy khách và quay lại.
Theo Mädel, một vấn đề kiểm soát truy cập không chính xác trong mô-đun mod_copy có thể bị người dùng xác thực khai thác để sao chép trái phép bất kỳ tệp nào trên một vị trí cụ thể của máy chủ FTP dễ bị tổn thương mà người dùng không được phép viết tệp.
Trong những trường hợp hiếm hoi, lỗ hổng cũng có thể dẫn đến thực thi mã từ xa hoặc tấn công tiết lộ thông tin.
John Simpson , một nhà nghiên cứu bảo mật tại Trend Micro, nói với The Hacker News rằng để thực hiện thành công việc thực thi mã từ xa trên máy chủ được nhắm mục tiêu, kẻ tấn công cần sao chép tệp PHP độc hại vào vị trí có thể thực thi.
Do đó, điều quan trọng cần lưu ý là không phải mọi máy chủ FTP chạy ProFTPD dễ bị tấn công đều có thể bị tấn công từ xa, vì kẻ tấn công yêu cầu đăng nhập vào máy chủ được nhắm mục tiêu tương ứng hoặc máy chủ nên kích hoạt truy cập ẩn danh.
Lỗ hổng, được chỉ định là CVE-2019-12815, ảnh hưởng đến tất cả các phiên bản ProFTPd, bao gồm cả phiên bản 1.3.6 mới nhất được phát hành vào năm 2017.
Do mô-đun mod_copy được bật theo mặc định trong hầu hết các hệ điều hành sử dụng ProFTPD, lỗ hổng có thể ảnh hưởng đến một số lượng lớn máy chủ.
Theo một lời khuyên , vấn đề mới được phát hiện có liên quan đến lỗ hổng tương tự 4 năm tuổi (CVE-2015-3306) trong mô-đun mod_copy cho phép kẻ tấn công từ xa đọc và ghi vào các tệp tùy ý thông qua các lệnh CPFR của trang web và trang web .
Mädel đã báo cáo lỗ hổng cho những người bảo trì dự án ProFTPd vào tháng 9 năm ngoái, nhưng nhóm đã không thực hiện bất kỳ hành động nào để giải quyết vấn đề này trong hơn 9 tháng.
Vì vậy, nhà nghiên cứu đã liên hệ với Nhóm bảo mật Debian vào tháng trước, sau đó nhóm ProFTPD cuối cùng đã tạo ra một bản vá và tuần trước đã đưa nó vào ProFTPD 1.3.6 mà không phát hành phiên bản mới của máy chủ FTP.
Như một giải pháp thay thế, quản trị viên máy chủ cũng có thể vô hiệu hóa mô-đun mod_copy trong tệp cấu hình ProFTPd để bảo vệ bản thân khỏi nạn nhân của bất kỳ cuộc tấn công nào liên quan đến lỗ hổng này.
(Theo thehackernews)