近日, 腾讯云安全运营中心监测到知名 FTP 服务软件 ProFTPD 被曝存在远程命令执行漏洞 (漏洞编号: CVE-2019-12815), 攻击者可利用该漏洞在没有权限的情况下拷贝 FTP 服务器上的任何文件. 目前, 互联网上数百万安装了 ProFTPD 的服务器可能存在该漏洞风险.
为避免您的业务受影响, 云鼎实验室建议您及时开展安全自查, 如在受影响范围, 请您及时进行更新修复, 避免被外部攻击者入侵. 同时建议云上租户免费开通「安全运营中心」- 安全情报, 及时获取最新漏洞情报, 修复方案及数据泄露情况, 感知云上资产风险态势.
[风险等级]
高风险
[漏洞影响]
未授权的拷贝 FTP 服务器任意文件
[漏洞详情]
ProFTPD 是一个开源和跨平台的 FTP 服务器, 在全球有大量用户使用, 是最受欢迎的 FTP 服务器之一, 其支持类 UNIX 和 Windows 操作系统平台.
近日, ProFTPD 官方修复了一个任意文件拷贝漏洞 (CVE-2019-12815), 该漏洞由于 mod_copy 模块中的自定义 SITE CPFR 和 SITE CPTO 这两个操作命令不符合预期读写配置所致, 攻击者利用成功可在没有权限的情况下拷贝 FTP 服务器上的任意文件.
[影响版本]
ProFTPD <= 1.3.6
[安全版本]
ProFTPD 1.3.6 以上
[修复建议]
官方暂未发布修复版本 ProFTPD , 建议受影响的用户关注官方链接修复.
下载地址: https://github.com/ProFTPd/ProFTPd/releases
如不方便进行升级, 可将 mod_copy 模块禁用来进行临时防护, 详细操作如下:
1) 找到配置文件并编辑, 注释掉受影响的行:
Ubuntu 默认配置文件目录:/etc/proftpd/modules.conf
CentOS 默认配置文件目录:/etc/proftpd.conf
# LoadModule mod_copy.c 注释掉 mod_copy 所在行, 若已注释, 则不受影响
2) 重启 FTP 服务并生效: service proftpd restart
[漏洞参考]
[1] 官方通告: http://bugs.proftpd.org/show_bug.cgi?id=4372
[2] 社区参考: https://www.bleepingcomputer.com/news/security/proftpd-remote-code-execution-bug-exposes-over-1-million-servers/
关于云鼎实验室
腾讯安全云鼎实验室一直专注于云领域前沿安全技术研究与创新, 以及云标准化与合规体系建设等工作. 通过机器学习与大数据技术实时监测并分析各类风险信息, 同时, 云鼎实验室帮助客户抵御高级可持续攻击, 并联合腾讯安全其他实验室进行安全漏洞的研究, 确保云计算平台整体的安全性, 且相关能力通过腾讯云开放出来. 云鼎实验室在云安全领域的研究与实战积累, 使得腾讯云能够为企业和创业者提供集云计算, 云数据, 云运营于一体的云端服务体验, 同时也是最可信的安全防护平台之一.
来源: https://www.qcloud.com/developer/article/1470545