[Unixoid/ProFTP] Hintertür in ProFTP 1.3.3c
(2010-12-03 13:38:17.45328+00)
Quelle:
http://sourceforge.net/mailarchive/forum.php?thread_name=alpine.DEB.2.00.1012011542220.12930%40familiar.castaglia.org&forum_name=proftp-announceIm Rahmen eines erfolgreichen Angriffs am 28. November 2010 auf den Hauptdistributionsserver für die freie FTP-Server-Software ProFTP wurde der auf diesem Server zum Herunterladen bereitgestellte ProFTP-Code durch manipulierten Code ersetzt, der eine Hintertür öffnet, sobald der Server gestartet wird. Die Hintertür stellt dem Eindringling unmittelbar administrative Privilegien auf dem beherbergenden System zur Verfügung. Der veränderte Code wurde zwar kurz nach der Kompromittierung durch die verantwortlichen Administratoren entfernt, da jedoch von diesem Server aus alle Spiegelserver versorgt werden, kann nicht ausgeschlossen werden, dass die verseuchte Softwareversion auf Spiegelserver gelangt ist oder dort ggf. sogar noch liegt.
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Plattform
- Einfallstor
- Angriffsvoraussetzung
- Angriffsvektorklasse
- Auswirkung
- Typ der Verwundbarkeit
- Gefahrenpotential
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Exploit Status
Zusammenfassung
Betroffen: ProFTPD 1.3.3c ab 2010-11-28 bis mind. 2010-12-02 Nicht betroffen: ProFTPD 1.3.3c vor 2010-11-28 Plattform: Unixoide Betriebssysteme Einfallstor: proftpdAngriffsvoraussetzung: Benutzerinteraktion Angriffsvektorklasse: remote Auswirkung: system compromise Typ: malware Gefahrenpotential: sehr hoch Workaround: Abgleich der Prüfsummen vor Installation Gegenmaßnahmen: Behandlung eines kompromittierten Systems
Betroffene Systeme
- ProFTPD 1.3.3c aus dem Distributionsnetzwerk ab 2010-11-28 bis mindestens 2010-12-02, deren Prüfsummen nicht mit den offiziellen Prüfsummen übereinstimmen
Nicht betroffene Systeme
- ProFTPD 1.3.3c mit korrekter Prüfsumme
Plattform
- Unixoide Betriebssysteme
Einfallstor
- Installation der durch den Angreifer modifizierten Version von ProFTPD 1.3.3c
Angriffsvoraussetzung
- Benutzerinteraktion - der Administrator eines betroffenen Systems muss die durch den Angreifer modifizierte Version von ProFTPD 1.3.3c installieren
(user interaction)
Angriffsvektorklasse
- über eine Netzwerkverbindung
(remote)
Auswirkung
- Bereitstellung einer root-Shell über eine Hintertür
(system compromise)
Typ der Verwundbarkeit
- malware
Gefahrenpotential
- sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Am 28. November 2010 um ca. 21:00 Uhr MEZ wurde der Hauptdistributionsserver für die freie FTP-Server-Software ProFTP über eine derzeit nicht näher bekannte Schwachstelle in der Serversoftware (ebenfalls ProFTP) erfolgreich angegriffen. In Folge wurde der auf diesem Server zum Herunterladen bereitgestellte Code der ProFTP-Server-Softwar durch manipulierten Code ersetzt. Dieser Code erzeugt beim Übersetzen und Installieren eine Version des proftpd die eine Hintertür öffnet, sobald der Server gestartet wird. Die Hintertür stellt dem Eindringling unmittelbar administrative Privilegien auf dem beherbergenden System zur Verfügung; die Installation des modifizierten Codes führt also unmittelbar zur Kompromittierung des beherbergenden Systems. Darüberhinaus meldet sich ein betroffenes System bei einem Command&Control-Server in Saudi-Arabien.
Der veränderte Code wurde zwar kurz nach der Kompromittierung durch die verantwortlichen Administratoren ersetzt, da jedoch von diesem Server aus alle Spiegelserver versorgt werden, kann nicht ausgeschlossen werden, dass die verseuchte Softwareversion auf Spiegelserver gelangt ist oder dort ggf. sogar noch liegt.
Aus diesem Grund ist es essentiell, Installationen, die in der fraglichen Zeit aufgesetzt wurden, auf Komplromittierung zu untersuchen. Die Prüfsummen von ProFTP-Distributionen, die seit dem 28.11.2010 von einem der Spiegelserver heruntergeladen wurden, sollten mit den aktuellen offiziellen Prüfsummen abgeglichen werden, um festzustellen, ob nicht etwa ein modifiziertes Exemplar geladen wurde.
Workaround
- Vor jeder Installation eines ProFTP-Servers:
Abgleich der Prüfsummen einer heruntergeladenen Distribution mit den offiziellen Prüfsummen von http://www.proftpd.org/
Gegenmaßnahmen
- Nach Installation einer modifizierten Version von ProFTPD 1.3.3c ist das beherbergende System als kompromittiert anzusehen und entsprechend zu behandeln:
Kompromittierte Systeme sollten umgehend forensisch untersucht werden. Potentiell gefährdet sind Systeme, die seit dem 28. November 2010, 21:00 Uhr MEZ bis mindestens 2. Dezember 2010 installiert wurden. Eine Untersuchung sollte mit dem Abgleich der Hashes (s.o.) auf einem vertrauenswürdigen System beginnen, wobei eine Übereinstimmung mit den offizellen Hashes kein hinreichendes Kriterium für die Nichtkompromittierung des betroffenen Systems ist.
Exploit Status
- Der modifizierte Code selbst ist Exploit-Code. (malware)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1656