Un experto en ciberseguridad ha descubierto una vulnerabilidad en el servidor de protocolo de transferencia de archivos (FTP) ProFTPD de código abierto, que se puede explotar para copiar archivos a servidores vulnerables con el fin de ejecutar código arbitrario.
ProFTPD es un servidor bastante popular open-source, el cual viene por defecto en diversas distros de Linux y Unix como por ejemplo Debian, este se puede encontrar en SourceForge, Samba, Linksys entre otros.
La vulnerabilidad, rastreada como CVE-2019-12815, reside en el módulo mod_copy que se encarga de implementar comandos para copiar archivos y carpetas en el mismo servidor sin la necesidad de transferir primero los datos al cliente; módulo que se encuentra habilitado de forma predeterminada en la mayoría de los sistemas operativos.
Para explotar la falla, el atacante primero debe contar con acceso a la máquina objetivo. En el análisis se realiza una consulta al motor de búsqueda de Shodan para buscar aquellos servidores que tengan acceso anónimo para ProFTPD, arrojando más de 28.000 personas que se encuentran expuestas a un posible ataque. La mayoría de los servidores pertenecen a los Estados Unidos (9.443), seguidos de Alemania (2.638) y Japón (2.002).
Tanto Debian como SUSE publicaron un aviso de seguridad para esta grave vulnerabilidad. Los expertos señalaron que la falla podría permitir la ejecución remota de código (RCE) solo si el servidor tiene una configuración determinada. El experto señala: “He visto muchos servidores web que utilizan ProFTPD con PHP y acceso anónimo. En este escenario la RCE es posible“.
A continuación se muestra la línea de tiempo para la falla CVE-2019-12815:
- 28.09.2018 / Reportado a ProFTPd.
- 12.06.2019 / Reportado al equipo de seguridad de Debian
- 28.06.2019 / Fecha límite para la divulgación pública anunciada el 28.07.2019
- 17.07.2019 / Arreglo publicado por ProFTPd
- 23.07.2019 / Al contrario de lo que mencionan los medios, ProFTPD 1.3.6, la última versión, también se ve afectada y no cuenta con una solución.
Como se aprecia en la línea temporal, no hay un parche disponible que corrige esta vulnerabilidad aún. La solución alternativa y temporal, es solicitar a los administradores que puedan deshabilitar el módulo mod_copy en el archivo de configuración de ProFTPD.
REFERENCIA
COMENTARIOS