Grave Vulnerabilità in ProFTPd

Proto: N040719.

Con la presente Yoroi desidera informarLa riguardo ad una grave vulnerabilità nell’applicativo ProFTPd, servizio FTP  cross-piattaforma largamente diffuso in vari ambienti server linux, utilizzato anche in ambito Enterprise. La criticità è nota con l’identificativo CVE-2019-12815.

Figura. Esposizione Internet servizi ProFTPd.

Un ricercatore indipendente, Tobias Mädel,  ha recentemente scoperto una importante lacuna all’interno del modulo “mod_copy” di ProFTPd, attraverso la quale un attaccante di rete in grado di inviare una serie di comandi “CPFR” e “CPTO” può riuscire a scrivere un file arbitrario sul server bersaglio. Tale condizione può comportare l’esecuzione di codice arbitrario da parte dell’attaccante e la compromissione della macchina. Il modulo “mod_copy” è abilitato di default nei pacchetti ProFTPd utilizzati in varie distribuzioni Linux, ad esempio Debian.

Il Manutentore ha confermato la problematica per le versioni per ProFTPd fino a 1.3.5 ed anche 1.3.6, per le quali sono in fase di rilascio le opportune patch. Al contempo, i Vendor di sistemi operativi Linux-based, come ad esempio Canonical e SuSE, stanno recependo gli aggiornamenti all’interno dei loro cicli di aggiornamento.

Per via della disponibilità di dettagli tecnici e della possibile esposizione dei sistemi afflitti, Yoroi consiglia caldamente di applicare gli aggiornamenti di sicurezza resi disponibili dal Manutentore e di valutare la disabilitazione , anche temporanea, di eventuali account anonimi e guest eventualmente presenti nelle configurazioni dei servizi ProFTPd.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index