Una nueva falla de ‘copia arbitraria de archivos’ afecta a los servidores FTP con tecnología ProFTPD

servidor ftp linux

Un investigador de seguridad alemán ha revelado públicamente detalles de una vulnerabilidad grave en una de las aplicaciones de servidor FTP más populares, que actualmente está siendo utilizada por más de un millón de servidores en todo el mundo.

El software vulnerable en cuestión es ProFTPDun servidor FTP de código abierto utilizado por una gran cantidad de empresas y sitios web populares, incluidos SourceForge, Samba y Slackware, y viene preinstalado con muchas distribuciones de Linux y Unix, como Debian.

Descubierta por Tobias Mädel, la vulnerabilidad reside en el módulo mod_copy de la aplicación ProFTPD, un componente que permite a los usuarios copiar archivos/directorios de un lugar a otro en un servidor sin tener que transferir los datos al cliente y viceversa.

Según Mädel, un usuario autenticado podría explotar un problema de control de acceso incorrecto en el módulo mod_copy para copiar sin autorización cualquier archivo en una ubicación específica del servidor FTP vulnerable donde el usuario no puede escribir un archivo.

En raras circunstancias, la falla también puede provocar la ejecución remota de código o ataques de divulgación de información.

Juan Simpsonun investigador de seguridad de Trend Micro, le dijo a The Hacker News que para lograr con éxito la ejecución remota de código en un servidor objetivo, un atacante necesita copiar un archivo PHP malicioso en una ubicación donde pueda ejecutarse.

Por lo tanto, es importante tener en cuenta que no todos los servidores FTP que ejecutan ProFTPD vulnerable pueden ser secuestrados de forma remota, ya que el atacante requiere iniciar sesión en el servidor de destino respectivo, o el servidor debe tener habilitado el acceso anónimo.

motor de búsqueda shodan

La vulnerabilidad, asignada como CVE-2019-12815, afecta a todas las versiones de ProFTPd, incluida la última versión 1.3.6 que se lanzó en 2017.

Dado que el módulo mod_copy viene habilitado de forma predeterminada en la mayoría de los sistemas operativos que utilizan ProFTPD, la falla podría afectar potencialmente a una gran cantidad de servidores.

Según un aviso, el problema recientemente descubierto está relacionado con una vulnerabilidad similar de 4 años (CVE-2015-3306) en el módulo mod_copy que permite a atacantes remotos leer y escribir en archivos arbitrarios a través de los comandos CPFR y CPTO del sitio. .

Mädel informó sobre la vulnerabilidad a los mantenedores del proyecto ProFTPd en septiembre del año pasado, pero el equipo no tomó ninguna medida para solucionar el problema durante más de 9 meses.

Entonces, el investigador se puso en contacto con el equipo de seguridad de Debian el mes pasado, después de lo cual el equipo de ProFTPD finalmente creó un parche y la semana pasada lo transfirió a ProFTPD 1.3.6 sin lanzar una nueva versión de su servidor FTP.

Como solución alternativa, los administradores del servidor también pueden deshabilitar el módulo mod_copy en el archivo de configuración de ProFTPd para protegerse de ser víctimas de cualquier ataque relacionado con esta falla.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática