ProFTPD远程命令执行漏洞或影响100多万台服务器

ProFTPD是一个开源，跨平台的FTP服务软件，支持大多数类Unix系统和Windows，是Unix平台下最流行的FTP服务软件之一，且同时支持Pure-FTPD和vsftpd。

而最近，ProFTPD被曝出任意文件复制漏洞，可导致超过一百万多台安装了ProFTPD的服务器受到远程命令执行和信息泄漏攻击。

所有版本在1.3.5b及其以下的ProFTPD软件都会受到该漏洞影响，攻击者只要成功利用该漏洞，就能在无需进行身份验证的情况下，以ProFTPD服务的权限执行任意命令。

ProFTPD 1.3.6版本已修复

该漏洞是由Tobias M?del发现的，被标记为CVE-2019-12815，漏洞根源在于mod_copy模块。发现者是在去年9月28日向ProFTPD安全团队报告的，漏洞修补后的ProFTPD 1.3.6版本已于7月17日对外发布。

根据M?del的描述：“ProFTPD会默认安装mod_copy模块，并且在大多数发行版系统(例如Debian)中默认启用”。此时，若攻击者向ProFTPD服务器发出CPFR和CPTO命令，则可能让未经授权的访问者直接复制FTP服务器上的任何文件。

根据ProFTPD的漏洞跟踪日志，出现这个问题是因为“mod_copy模块的自定义的SITE CPFR和SITE CPTO命令与预期作用不符”。

无法立即安装安全补丁的服务器可以通过禁用ProFTPD配置文件中的mod_copy模块临时防御网络攻击。

德国计算机应急响应小组CERT-Bund今天也发布了一份安全警告，提醒ProFTPD的用户一定要注意这一高危漏洞。

而此次ProFTPD漏洞据悉与2015年的CVE-2015-3306漏洞有关，该漏洞也可让攻击者利用SITE CPFR和SITE CPTO命令读写任意文件。

超过100万台存在安全风险的ProFTPD服务器

根据Shodan的搜索，目前有100多万台未打补丁的ProFTPD服务器，而自从最新版本1.3.6版本发布以来，似乎只有4台服务器完成升级。

大量存在漏洞的服务器有可能使这个漏洞对黑客来说非常具有吸引力，未来可能会发生大规模攻击活动。

就在12天前，针对的Jira的CVE-2019-11581模板注入漏洞被公开，现在网络已出现大量黑客利用该漏洞进行扫描攻击。

时间线

2018年9月28日，向ProFTPD安全团队报告，并紧密交流

2019年6月12日，向Debian安全小组报告，Moritz&Salvatore回复

2019年6月28日，表示漏洞公开日期的最后期限为2019年7月28日

2019年7月17日，ProFTPD发布安全补丁

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2805.html
来源：https://www.bleepingcomputer.com/news/security/proftpd-remote-code-execution-bug-exposes-over-1-million-servers/