Groźna podatność w proftpd – można podmieniać binarki / inne pliki na serwerze

Na początek wiele mediów, relacjonując tę podatność wpadło w nieco owczy pęd pisząc o Remote Code Execution w Proftpd:

Proftpd RCE

Luka czasem może doprowadzić do RCE, ale nie tyle w samym serwerze FTP co np. w web serwerze. Dlaczego? Podatność umożliwia kopiowanie plików na serwerze nawet jeśli nie mamy żadnych uprawnień to wykonywania tej akcji (nasz tytuł też może nie jest idealny – opisaliśmy tam w skrócie tylko jeden ze scenariuszy).

Jako PoC przedstawiono taką konfigurację popularnego serwera ftp w Debianie:

<Anonymous ~ftp>
  User                ftp
  Group                nogroup
  UserAlias            anonymous ftp
  RequireValidShell        off

  MaxClients            10
  DisplayLogin            welcome.msg
  DisplayChdir        .message

  # Limit WRITE everywhere in the anonymous chroot
  <Directory *>
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>

</Anonymous>

Niby użytkownik anonimowy, ale korzystając ze stosownych poleceń możemy stworzyć (przez kopiowanie) plik o ustalonym przez nas rozszerzeniu:

site cpfr welcome.msg
site cpto malicious.php

Scenariusze są różne – od np. skopiowanie wgranego przez nas graficznego avatara z webshellem do webshella z dobrym rozszerzeniem (np. .php; musimy mieć oczywiście stosowny dostęp do serwera ftp – np. za pomocą anonimowego konta). Inny scenariusz to np. podrzucenie na serwer FTP aktualizacji czy nowych wersji oprogramowania z malware (przypominam: czasem wystarczy tam tylko anonimowy dostęp ftp).

Przygotowano łatkę na wersję 1.3.6 (trzeba ją zaaplikować ręcznie, ew. wyłączyć często domyślnie włączony moduł mod_copy) lub czekać na nową wersję 1.3.7.