Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1656

[Unixoid/ProFTP] Hintertür in ProFTP 1.3.3c
(2010-12-03 13:38:17.45328+00)

Quelle: http://sourceforge.net/mailarchive/forum.php?thread_name=alpine.DEB.2.00.1012011542220.12930%40familiar.castaglia.org&forum_name=proftp-announce

Im Rahmen eines erfolgreichen Angriffs am 28. November 2010 auf den Hauptdistributionsserver für die freie FTP-Server-Software ProFTP wurde der auf diesem Server zum Herunterladen bereitgestellte ProFTP-Code durch manipulierten Code ersetzt, der eine Hintertür öffnet, sobald der Server gestartet wird. Die Hintertür stellt dem Eindringling unmittelbar administrative Privilegien auf dem beherbergenden System zur Verfügung. Der veränderte Code wurde zwar kurz nach der Kompromittierung durch die verantwortlichen Administratoren entfernt, da jedoch von diesem Server aus alle Spiegelserver versorgt werden, kann nicht ausgeschlossen werden, dass die verseuchte Softwareversion auf Spiegelserver gelangt ist oder dort ggf. sogar noch liegt.

Inhalt

Zusammenfassung

Betroffene Systeme

Nicht betroffene Systeme

Plattform

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Am 28. November 2010 um ca. 21:00 Uhr MEZ wurde der Hauptdistributionsserver für die freie FTP-Server-Software ProFTP über eine derzeit nicht näher bekannte Schwachstelle in der Serversoftware (ebenfalls ProFTP) erfolgreich angegriffen. In Folge wurde der auf diesem Server zum Herunterladen bereitgestellte Code der ProFTP-Server-Softwar durch manipulierten Code ersetzt. Dieser Code erzeugt beim Übersetzen und Installieren eine Version des proftpd die eine Hintertür öffnet, sobald der Server gestartet wird. Die Hintertür stellt dem Eindringling unmittelbar administrative Privilegien auf dem beherbergenden System zur Verfügung; die Installation des modifizierten Codes führt also unmittelbar zur Kompromittierung des beherbergenden Systems. Darüberhinaus meldet sich ein betroffenes System bei einem Command&Control-Server in Saudi-Arabien.

Der veränderte Code wurde zwar kurz nach der Kompromittierung durch die verantwortlichen Administratoren ersetzt, da jedoch von diesem Server aus alle Spiegelserver versorgt werden, kann nicht ausgeschlossen werden, dass die verseuchte Softwareversion auf Spiegelserver gelangt ist oder dort ggf. sogar noch liegt.

Aus diesem Grund ist es essentiell, Installationen, die in der fraglichen Zeit aufgesetzt wurden, auf Komplromittierung zu untersuchen. Die Prüfsummen von ProFTP-Distributionen, die seit dem 28.11.2010 von einem der Spiegelserver heruntergeladen wurden, sollten mit den aktuellen offiziellen Prüfsummen abgeglichen werden, um festzustellen, ob nicht etwa ein modifiziertes Exemplar geladen wurde.

Workaround

Gegenmaßnahmen

Exploit Status

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1656