漏洞描述

近日，HSCERT监测发现超过一百万台ProFTPD服务器受到远程代码执行和信息泄露攻击的威胁，这些攻击可在成功利用任意文件拷贝漏洞后触发。

ProFTPd是一个开源和跨平台的FTP服务器，支持大多数类UNIX系统和Windows，是最受欢迎的FTP服务器之一。

所有ProFTPd版本（包括1.3.5b）都受到此漏洞的影响，该漏洞使远程攻击者无需在进行身份验证和得到ProFTPD服务的用户权限即可执行任意代码。

漏洞分析

该漏洞源于mod_copy模块中的自定义SITE CPFR和SITE CPTO操作，mod_copy在ProFTPd的默认安装中提供，默认情况下在大多数发行版中启用，发送CPFR，CPTO命令到ProFTPd服务器允许没有写权限的用户可以拷贝FTP服务器上的任何文件。

漏洞出现是因为mod_copy模块的自定义SITE CPFR和SITE CPTO命令没有按预期进行配置

扫描发现超过一百万台未修补的ProFTPd服务器

漏洞危害

高危

影响版本

ProFTPd <= 1.3.5b

安全建议

ProFTPd已经在新发布的1.3.6版本中修复了上述漏洞，建议受影响的用户尽快升级。

临时缓解方案可以将mod_copy模块禁用来进行防护。

ProFTPd 1.3.6版本下载地址：

https://github.com/ProFTPd/ProFTPd/releases

参考信息

https://www.cert-bund.de/advisoryshort/CB-K19-0642

https://www.bleepingcomputer.com/news/security/proftpd-remote-code-execution-bug-exposes-over-1-million-servers/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12815

http://tbspace.de/cve201912815proftpd.html

如需帮助请咨询 [email protected]