В рамках программы информирования банковского сообщества о значимых угрозах безопасности, компания Digital Security предупреждает об обнаружении критической уязвимости в FTP-сервере ProFTPD, позволяющей без аутентификации копировать файлы в пределах одного сервера.

Уязвимыми являются команды site cpfr и site cpto в модуле mod_copy, который можно отключить только во время сборки. Поскольку ProFTPD — один из 3-х самых популярных FTP-серверов для Linux, и часто используется на боевых серверах, в Digital Security рекомендуют как можно скорее проверить ресурсы на наличие данной уязвимости и устранить ее.

Благодаря озвученной уязвимости, злоумышленники могут копировать недоступные извне файлы в директорию веб-сервера, чтобы потом скачать их себе. Также обнаруженная «дыра» позволяет перенаправлять поток ошибок FTP-сервера в файл, после чего атакующий может выполнить произвольный PHP-код. Кроме того, при определенных условиях, злоумышленник с помощью уязвимостей получает возможность копировать различные настройки и файлы базы данных. Под угрозой находятся данные тысяч пользователей, утверждают в Digital Security.

Уязвимость была обнаружена 7 апреля 2015 г. одним из российских исследователей. На данный момент, исправление уязвимости доступно только в виде патча.

Проверить наличие уязвимости можно вручную, подключившись к порту 21 через утилиту telnet:

% telnet 1.2.3.4 21
Trying 1.2.3.4…
Connected to 1.2.3.4.
Escape character is ‘^]’.
220 ProFTPD 1.3.5rc3 Server (Debian) 1.2.3.4
site cpfr /etc/passwd
350 File or directory exists, ready for destination name
site cpto /usr/share/nginx/html/passwd
250 Copy successful

Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Digital Security предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, аудит защищенности бизнес-приложений (SAP, Oracle, веб-приложения, системы ДБО), аудит защищенности АСУ ТП и SCADA.