proftpd

ProFTPD: Une faille de copie de fichier arbitraire

Un chercheur en sécurité Allemand a divulgué les détails d’une vulnérabilité dans ProFTPD, l’une des applications de serveur FTP les plus populaires. Cette application est utilisée par plus d’un million de serveurs dans le monde.

Le logiciel est utilisé par un nombre important d’entreprise et de sites tel que SourceForge, Samba et Slackware, et est pré-installé sur plusieurs distributions Linux et Unix, comme Debian par exemple.

Découvert par Tobias Mädel, la vulnérabilité se trouve dans le module mod_copy de l’application ProFTPD, un composant qui permet aux utilisateurs de copier les fichiers/dossiers d’un endroit à l’autre sur un serveur sans avoir à transférer les données vers le client avant.

Selon Mädel, un contrôle d’accès incorrecte dans le module mod_copy pourrait être exploité par un utilisateur authentifié pour copier n’importe quel fichier sans autorisation vers un endroit spécifique du serveur FTP ou l’utilisateur ne devrait pas avoir la permission d’écrire un fichier.

Dans de rares circonstances, la faille peut aussi causer une exécution de code à distance ou une divulgation d’information.

John Simpson, un chercheur en sécurité de Trend Micro, a déclaré avoir réussi à effectuer une exécution de code à distance sur un serveur ciblé, il suffit de copier un fichier PHP malveillant vers un endroit où il peut être exécuté.

Il est important de préciser que tout les serveurs FTP qui utilisent ProFTPD ne sont pas concernés par l’exécution de code à distance car il faut que le pirate puisse se connecter au serveur ciblé, ou l’option accès anonyme du serveur doit être activé.

proftpd shodan search engine

La vulnérabilité, CVE-2019-12815, affecte toute les versions de ProFTPd, y compris la dernière version 1.3.6 qui est sorti en 2017.

Le module mod_copy est activé par défaut dans la plupart des système d’exploitation qui utilisent ProFTPD, la faille peut donc affecter un large nombre de serveurs.

Selon un rapport, cette nouvelle vulnérabilité est lié à une vieille faille (CVE-2015-3306) similaire découverte dans le module mod_copy qui permet aux pirates distants de lire et d’écrire sur des fichiers arbitraires via les commandes CPFR et CPTO du site.

Proftpd est au courant de la vulnérabilité

Mädel a signalé la vulnérabilité à l’équipe de ProFTPd en Septembre l’année dernière, mais ils n’ont pas réagi pendant plus de 9 mois.

Le chercheur a donc ensuite contacté l’équipe de sécurité Debian en Juin 2019, après cela l’équipe de ProFTPD a finalement créé un patch et l’ont ajouté à ProFTPD 1.3.6 sans distribuer une nouvelle version de son serveur FTP.

Les administrateurs peuvent aussi désactiver le module mod_copy dans le fichier de configuration ProFTPd pour se protéger des attaques liées à la faille.

Cette nouvelle vulnérabilité sur Linux survient juste après que nous ayons écrit un article sur EvilGnome, le dernier spyware de Linux.

Leave a Reply