Um pesquisador de segurança alemão divulgou publicamente detalhes de uma séria vulnerabilidade em um dos mais populares aplicativos de servidor FTP, que atualmente está sendo usado por mais de um milhão de servidores em todo o mundo.

O software vulnerável em questão é o ProFTPD , um servidor FTP de código aberto usado por um grande número de empresas e sites populares, incluindo SourceForge, Samba e Slackware, e vem pré-instalado com muitas distribuições Linux e Unix, como o Debian.

Descoberto por Tobias Mädel , a vulnerabilidade reside no módulo mod_copy do aplicativo ProFTPD, um componente que permite aos usuários copiar arquivos / diretórios de um local para outro em um servidor sem precisar transferir os dados para o cliente e vice-versa.

De acordo com Mädel, um problema de controle de acesso incorreto no módulo mod_copy poderia ser explorado por um usuário autenticado para copiar sem autorização qualquer arquivo em um local específico do servidor FTP vulnerável, onde o usuário não teria permissão para gravar um arquivo.

Em raras circunstâncias, a falha também pode levar à execução remota de código ou a ataques de divulgação de informações.

John Simpson , pesquisador de segurança da Trend Micro, disse ao The Hacker News que, para obter sucesso na execução remota de código em um servidor alvo, um atacante precisa copiar um arquivo PHP malicioso para um local onde possa ser executado.

Portanto, é importante observar que nem todos os servidores FTP que executam o ProFTPD vulnerável podem ser seqüestrados remotamente, já que o invasor solicita o login no respectivo servidor de destino, ou o servidor deve ter acesso anônimo ativado.

A vulnerabilidade, atribuída como CVE-2019-12815, afeta todas as versões do ProFTPd, incluindo a última versão 1.3.6 lançada em 2017.

Como o módulo mod_copy vem habilitado por padrão na maioria dos sistemas operacionais que usam o ProFTPD, a falha pode afetar um grande número de servidores.

De acordo com um comunicado , o problema recém-descoberto está relacionado a uma vulnerabilidade similar de 4 anos (CVE-2015-3306) no módulo mod_copy que permite que atacantes remotos leiam e gravem arquivos arbitrários por meio dos comandos CPFR e CPTO do site. .

Mädel relatou a vulnerabilidade aos mantenedores do projeto ProFTPd em setembro do ano passado, mas a equipe não tomou nenhuma ação para resolver o problema por mais de 9 meses.

Então, o pesquisador entrou em contato com a Equipe de Segurança do Debian no mês passado, após o qual a equipe do ProFTPD finalmente criou um patch e na semana passada retrocedeu para o ProFTPD 1.3.6 sem liberar uma nova versão do seu servidor FTP.

Como solução alternativa, os administradores de servidor também podem desabilitar o módulo mod_copy no arquivo de configuração ProFTPd para proteger-se de ser vítima de qualquer ataque relacionado a essa falha.

Fonte: thehackernews