Una vulnerabilità in ProFTPD sta esponendo ad un serio rischio di attacchi informatici oltre un milione di server in tutto il mondo. Sfruttando con successo la vulnerabilità identificata come CVE-2019-12815, i criminal hacker sarebbero infatti in grado di eseguire codice arbitrario da remoto e accedere così ad informazioni riservate.
Secondo il ricercatore Tobias Mädel che è riuscito ad individuare la falla di sicurezza, il problema risiede nel modulo mod_copy attivo di default in tutte le installazioni dei server ProFTPD e al quale vengono demandate le operazioni di lettura e scrittura dei file.
Indice degli argomenti
Vulnerabilità in ProFTPD: l’analisi tecnica
ProFTPD, lo ricordiamo, è un server FTP open source e multipiattaforma con supporto per la maggior parte dei sistemi UNIX-like e Windows, oltre ad essere uno dei più popolari e utilizzati sulle piattaforme basate su UNIX insieme a Pure-FTPd e vsftpd.
Tutte le versioni di ProFTPd fino all’ultima 1.3.6 inclusa sono influenzate dalla vulnerabilità che, come dicevamo, consente ad un attaccante remoto di eseguire codice arbitrario sul server target senza la necessità di autenticazione e sfruttando i diritti di amministrazione del servizio ProFTPD.
Ai criminal hacker basta quindi usare i comandi SITE CPFR e SITE CPTO del modulo mod_copy per eseguire qualsiasi operazioni di lettura e scrittura sui server vulnerabili aggirando tutti i sistemi di autenticazione attivi sul server.
Ciò è possibile, secondo il ricercatore di sicurezza, perché i comandi di lettura e scrittura sono stati mal programmati e non rispettano le configurazioni come previsto.
La vulnerabilità sarebbe inoltre la variante di un’altra già identificata nel 2015 come CVE-2015-3306 che consentiva ad un attaccante di leggere e scrivere su file arbitrati archiviati nella memoria dei server vulnerabili.
Come mitigare il rischio di attacco informatico
Per comprendere la reale pericolosità di questa nuova vulnerabilità individuata nei server ProFTPD è sufficiente eseguire una ricerca su Shodan, il servizio online che permette di individuare qualsiasi dispositivo connesso a Internet: ad oggi risultano essere attivi più di un milione di server ProFTPD (di cui 24.299 in Italia).
Al momento, quindi, per prevenire un possibile attacco informatico ai propri server, gli amministratori di sistema dovrebbero disabilitare immediatamente il modulo mod_copy nel file di configurazione di ProFTPD.
L’enorme numero di server vulnerabili e l’attuale mancanza di patch rende questa vulnerabilità molto “attraente” per i criminal hacker che potrebbero sfruttarla per compromettere e infettare i server con malware e altri codici malevoli di ogni genere.
Un’eventualità tutt’altro che rara: ricordiamo, infatti, che i criminali informatici stanno attualmente sfruttando alcune vulnerabilità presenti sui server Jira ed Exim (quest’ultimo molto utilizzato anche in Italia come server di posta elettronica) per infettarli con una variante del trojan Watchbog per Linux e sfruttarne la potenza di calcolo per estrarre criptovaluta Monero.
In particolare, i criminal hacker hanno impiegato soltanto 12 giorni per “confezionare” un exploit che ha consentito loro di sfruttare la vulnerabilità CVE-2019-11581 dei server Jira.
