La vulnerabilidad reside en el módulo mod_copy de la aplicación ProFTPD
Un investigador de seguridad alemán ha revelado públicamente detalles de una grave vulnerabilidad en una de las aplicaciones de servidor FTP más populares, que actualmente está siendo utilizada por más de un millón de servidores en todo el mundo.
El software vulnerable en cuestión es ProFTPD, un servidor FTP de código abierto utilizado por una gran cantidad de empresas y sitios web populares, incluidos SourceForge, Samba y Slackware, y viene preinstalado con muchas distribuciones de Linux y Unix, como Debian.
Descubierta por Tobias Mädel, la vulnerabilidad reside en el módulo mod_copy de la aplicación ProFTPD, un componente que permite a los usuarios copiar archivos/directorios de un lugar a otro en un servidor sin tener que transferir los datos al cliente y viceversa.
De acuerdo con Mädel, un usuario autenticado podría explotar un problema de control de acceso incorrecto en el módulo mod_copy para copiar de forma no autorizada cualquier archivo en una ubicación específica del servidor de FTP vulnerable donde el usuario no tiene permiso para escribir un archivo.
En raras circunstancias, la falla también puede llevar a la ejecución remota de código o ataques de divulgación de información.
John Simpson, un investigador de seguridad de Trend Micro, dijo a The Hacker News que para lograr con éxito la ejecución remota de código en un servidor específico, un atacante necesita copiar un archivo PHP malicioso en una ubicación donde pueda ejecutarse.
Por lo tanto, es importante tener en cuenta que no todos los servidores FTP que ejecutan ProFTPD vulnerable pueden ser secuestrados de forma remota, ya que el atacante requiere iniciar sesión en el servidor de destino respectivo, o el servidor debe tener habilitado el acceso anónimo.
La vulnerabilidad, asignada como CVE-2019-12815, afecta a todas las versiones de ProFTPd, incluida la última versión 1.3.6 que se lanzó en 2017.
Dado que el módulo mod_copy viene habilitado de forma predeterminada en la mayoría de los sistemas operativos que utilizan ProFTPD, la falla podría afectar a una gran cantidad de servidores.
Según un aviso, el problema recién descubierto está relacionado con una vulnerabilidad similar de 4 años (CVE-2015-3306) en el módulo mod_copy que permite a los atacantes remotos leer y escribir en archivos arbitrarios a través de los comandos CPFR del sitio y CPTO del sitio.
Mädel informó sobre la vulnerabilidad a los mantenedores del proyecto ProFTPd en septiembre del año pasado, pero el equipo no tomó ninguna medida para resolver el problema durante más de 9 meses.
Entonces, el investigador se contactó con el equipo de seguridad de Debian el mes pasado, luego de lo cual el equipo de ProFTPD finalmente creó un parche y la semana pasada lo devolvió a ProFTPD 1.3.6 sin lanzar una nueva versión de su servidor FTP.
Como solución alternativa, los administradores del servidor también pueden deshabilitar el módulo mod_copy en el archivo de configuración ProFTPd para protegerse de ser una víctima de cualquier ataque relacionado con esta falla.
En CentOS se puede hacer comentando esta línea (#) LoadModule mod_copy.c en el archivo /etc/proftpd.conf .