Dang Cuong
Member
-
22/06/2019
-
5
-
14 bài viết
Phát hiện lỗ hổng bảo mật nghiêm trọng trên dịch vụ FPT Server chạy ProFPTd
Tobias Mädel - Một nhà nghiên cứu bảo mật người Đức mới đây đã công khai tiết lộ chi tiết về lỗ hổng bảo mật nghiêm trọng trên dịch vụ FTP Server của ứng dụng máy chủ ProFTPd phổ biến, được sử dụng bởi hơn 1 triệu máy chủ trên toàn thế giới.
Cụ thể, phần mềm bị ảnh hướng bởi lỗ hổng bảo mật này là ProFTPD, một máy chủ FTP nguồn mở được sử dụng bởi một số lượng lớn các doanh nghiệp và trang web phổ biến bao gồm SourceForge, Samba và Slackware và được cài đặt sẵn nhiều bản phân phối Linux và Unix, như Debian.
Theo công bố của Tobias Mädel, lỗ hổng bảo mật này nằm trong mô-đun mod_copy của ứng dụng ProFTPD, một thành phần cho phép người dùng sao chép tệp/thư mục từ nơi này sang nơi khác trên máy chủ mà không phải chuyển dữ liệu sang máy khách và quay lại.
Theo Mädel, một vấn đề kiểm soát truy cập không chính xác trong mô-đun mod_copy có thể bị người dùng xác thực khai thác để sao chép trái phép bất kỳ tệp nào trên một vị trí cụ thể của máy chủ FTP dễ bị tổn thương mà người dùng không được phép viết tệp.
Trong những trường hợp hiếm hoi, lỗ hổng bảo mật này cũng có thể dẫn đến các cuộc tấn công thực thi mã từ xa hoặc tấn công tiết lộ thông tin.
Theo John Simpson, một nhà nghiên cứu bảo mật tại Trend Micro, cho biết để thực hiện thành công cuộc tấn công thực thi mã từ xa trên máy chủ được nhắm mục tiêu, kẻ tấn công cần sao chép tệp PHP độc hại vào vị trí có thể thực thi.
Do đó, điều quan trọng cần lưu ý là không phải mọi máy chủ FTP chạy ProFTPD dễ bị tấn công đều có thể bị tấn công từ xa, vì kẻ tấn công yêu cầu đăng nhập vào máy chủ được nhắm mục tiêu tương ứng hoặc máy chủ nên kích hoạt truy cập ẩn danh
Lỗ hổng, có mã hiệu là CEV-2019-12815, ảnh hưởng đến tất cả các phiên bản ProFTPd, bao gồm cả phiên bản 1.3.6 mới nhất được phát hành vào năm 2017.
Do mô-đun mod_copy được bật theo mặc định trong hầu hết các hệ điều hành sử dụng ProFTPD, lỗ hổng có thể ảnh hưởng đến một số lượng lớn máy chủ.
Mädel đã báo cáo lỗ hổng cho những người bảo trì dự án ProFTPd vào tháng 9 năm ngoái, nhưng nhóm đã không thực hiện bất kỳ hành động nào để giải quyết vấn đề này trong hơn 9 tháng.
Vì vậy, Mädel đã liên hệ với Nhóm bảo mật Debian vào tháng trước, sau đó nhóm ProFTPD cuối cùng đã tạo ra một bản vá và tuần trước đã bổ sung vào phiên bản ProFTPD 1.3.6 chứ không phát hành phiên bản mới của máy chủ FTP.
Như một giải pháp thay thế, quản trị viên máy chủ cũng có thể vô hiệu hóa mô-đun mod_copy trong tệp cấu hình ProFTPd để bảo vệ hệ thống khỏi các cuộc tấn công nào liên quan đến lỗ hổng này.
Cụ thể, phần mềm bị ảnh hướng bởi lỗ hổng bảo mật này là ProFTPD, một máy chủ FTP nguồn mở được sử dụng bởi một số lượng lớn các doanh nghiệp và trang web phổ biến bao gồm SourceForge, Samba và Slackware và được cài đặt sẵn nhiều bản phân phối Linux và Unix, như Debian.
Theo công bố của Tobias Mädel, lỗ hổng bảo mật này nằm trong mô-đun mod_copy của ứng dụng ProFTPD, một thành phần cho phép người dùng sao chép tệp/thư mục từ nơi này sang nơi khác trên máy chủ mà không phải chuyển dữ liệu sang máy khách và quay lại.
Theo Mädel, một vấn đề kiểm soát truy cập không chính xác trong mô-đun mod_copy có thể bị người dùng xác thực khai thác để sao chép trái phép bất kỳ tệp nào trên một vị trí cụ thể của máy chủ FTP dễ bị tổn thương mà người dùng không được phép viết tệp.
Trong những trường hợp hiếm hoi, lỗ hổng bảo mật này cũng có thể dẫn đến các cuộc tấn công thực thi mã từ xa hoặc tấn công tiết lộ thông tin.
Theo John Simpson, một nhà nghiên cứu bảo mật tại Trend Micro, cho biết để thực hiện thành công cuộc tấn công thực thi mã từ xa trên máy chủ được nhắm mục tiêu, kẻ tấn công cần sao chép tệp PHP độc hại vào vị trí có thể thực thi.
Do đó, điều quan trọng cần lưu ý là không phải mọi máy chủ FTP chạy ProFTPD dễ bị tấn công đều có thể bị tấn công từ xa, vì kẻ tấn công yêu cầu đăng nhập vào máy chủ được nhắm mục tiêu tương ứng hoặc máy chủ nên kích hoạt truy cập ẩn danh
Lỗ hổng, có mã hiệu là CEV-2019-12815, ảnh hưởng đến tất cả các phiên bản ProFTPd, bao gồm cả phiên bản 1.3.6 mới nhất được phát hành vào năm 2017.
Do mô-đun mod_copy được bật theo mặc định trong hầu hết các hệ điều hành sử dụng ProFTPD, lỗ hổng có thể ảnh hưởng đến một số lượng lớn máy chủ.
Mädel đã báo cáo lỗ hổng cho những người bảo trì dự án ProFTPd vào tháng 9 năm ngoái, nhưng nhóm đã không thực hiện bất kỳ hành động nào để giải quyết vấn đề này trong hơn 9 tháng.
Vì vậy, Mädel đã liên hệ với Nhóm bảo mật Debian vào tháng trước, sau đó nhóm ProFTPD cuối cùng đã tạo ra một bản vá và tuần trước đã bổ sung vào phiên bản ProFTPD 1.3.6 chứ không phát hành phiên bản mới của máy chủ FTP.
Như một giải pháp thay thế, quản trị viên máy chủ cũng có thể vô hiệu hóa mô-đun mod_copy trong tệp cấu hình ProFTPd để bảo vệ hệ thống khỏi các cuộc tấn công nào liên quan đến lỗ hổng này.
Theo : Cybersec365
Chỉnh sửa lần cuối: