آسیب‌پذیری جدید «کپی فایل دلخواه» سرورهای FTP مبتنی‌بر ProFTPD را تحت تأثیر قرار می‌دهد

پژوهش‌گر امنیتی آلمانی جزئیات یک آسیب‌پذیری جدی در یکی از برنامه‌های محبوب سرور FTP را که درحال‌حاضر توسط بیش از یک میلیون سرور در سراسر جهان مورد استفاده قرار می‌گیرد، به‌طور عمومی افشا کرده است. نرم‌افزار آسیب‌پذیر مورد بحث ProFTPD است که یک سرور متن‌باز FTP است و توسط تعدادی بسیاری از کسب‌وکارهای محبوب و وب‌گاه‌ها ازجمله SourceForge، Samba  و Slackware مورد استفاده قرار گرفته است و در بسیاری از توزیع‌های لینوکس و یونیکس مانند دبیان از قبل نصب شده است.

این آسیب‌پذیری که در مؤلفه‌ی mod_copy برنامه‌ی ProFTPD وجود دارد، توسط Tobias Madel کشف شد. این مؤلفه به کاربران اجازه می‌دهد تا بدون نیاز به انتقال داده به کلاینت و یا برعکس، مسیرها و فایل‌ها را از یک مکان به مکانی دیگر در یک سرور کپی کند.

به‌گفته‌ی Madel، یک مسأله‌ی کنترل دسترسی نادرست در مؤلفه‌ی mod_copy می‌تواند توسط یک کاربر احرازهویت‌شده مورد بهره‌برداری قرار گیرد تا به‌طور غیرمجاز هر فایلی را به یک مکان خاص در سرور FTP آسیب‌پذیر کپی کند که در آن‌جا کاربر مجاز به نوشتن یک فایل نیست. در موارد نادر، این آسیب‌پذیری ممکن است منجر به حملات اجرای کد از راه دور یا افشای اطلاعات شود.

John Simpson، یکی از پژوهش‌گران امنیتی در ترندمیکرو بیان کرد که برای دست يابی به اجرای کد از راه دور در یک سرور هدف، یک مهاجم باید فایل پی‌اچ‌پی مخرب را در یک مکانی که می‌تواند اجرا شود، کپی کند. بنابراین توجه به این نکته مهم و ضروری است که همه‌ی سرورهای FTP که ProFTPD آسیب‌پذیر اجرا می‌کنند، به‌صورت از راه دور مورد بهره‌برداری قرار نمی‌گیرند، زیرا مهاجم باید به سرور هدف مربوطه وارد شود و یا سرور باید دسترسی ناشناس را فعال کرده باشد.

این آسیب‌پذیری که شناسه‌ی CVE-2019-12815 به آن اختصاص داده شده است، همه‌ی نسخه‌های ProFTPD ازجمله آخرین نسخه‌ی ۱٫۳٫۶ را که در سال ۲۰۱۷ میلادی منتشرشد، تحت تأثیر قرار می‌دهد. از آن‌جا که مؤلفه‌ی mod_copy به‌طور پیش‌فرض در بسیاری از سیستم عامل‌هایی که از ProFTPD استفاده می‌کنند، فعال است، این آسیب‌پذیری می‌تواند به‌طور بالقوه تعداد زیادی از سرورها را تحت تأثیر قرار دهد.

براساس مشاوره‌نامه‌ی منتشرشده، مسأله‌ای که به‌تازگی کشف شده است به یک آسیب‌پذیری ۴ ساله‌ی مشابه (CVE-2015-3306) در مؤلفه‌ی mod_copy مربوط است که به مهاجمان راه دور اجازه می‌دهد تا از طریق دستورات site CPFR و site CPTO فایل‌های دلخواه را بخوانند و در آن‌ها بنویسند. این محقق در ماه سپتامبر سال گذشته این آسیب‌پذیری را به توسعه‌دهندگان پروژه‌ی ProFTPD گزارش داد، اما پس از گذشت ۹ ماه این گروه هیچ اقدامی برای رفع این مسأله انجام نداد. بنابراین، ماه گذشته این پژوهش‌گر با گروه امنیتی دبیان تماس گرفت که پس از آن در نهایت گروه ProFTPD یک وصله برای آن عرضه کرد و نسخه‌ی جدیدی برای سرورFTP منتشر نکرد. مدیران سرور می‌توانند مؤلفه‌ی mod_copy موجود در فایل پیکربندی ProFTPD را غیرفعال کنند تا از آن‌ها در برابر حملات مربوط به این آسیب‌پذیری محافظت کنند.

منبع

پست‌های مشابه

Leave a Comment