ProFTPD: Saldırganlar hakları artırabilir

bencede

New member
Popüler FTP sunucusu ProFTPD'deki bir güvenlik açığı, saldırganlar tarafından savunmasız sistemlerdeki ayrıcalıklarını yükseltmek için kullanılabilir. Geliştiriciler hatayı düzelten bir kaynak kodu yaması sağladılar.


Duyuru



CVE girişindeki CVE-2024-48651'deki güvenlik açığı açıklamasında mod_sql'nin tamamlayıcı gruplar sağlamadığı belirtiliyor. Sonuç olarak, kullanıcılar GID 0'a sahip ek grubu devralır. Kullanıcılar bunu Debian hata izleyicisinde bildirdiler ve ProFTPD Github deposunda tartıştılar: Güvenlik açığı, ProFTPD'nin mod_sql ile birlikte kullanıldığında kök erişiminin mümkün olduğu anlamına geliyordu. ProFTPD 1.3.8b, cec01cc'nin işlenmesinden önce etkilenir. Ancak ProFTPD 1.3.5'te aynı durumdaki kullanıcılar, yalnızca minimum düzeyde güvenlik riski oluşturan ek grup nogroup'u devralır. BSI CERT Derneği, güvenlik açığını CVSS değeriyle derecelendiriyor: 8.8 GİBİ yüksek risk.

Paketleri güncelle


Bu nedenle ProFTPD hizmetini kullanan herkes mutlaka güncellenmiş paketleri takip etmelidir. ProFTPD web sitesi (aslında yalnızca http'yi destekliyor) Aralık 2023 itibarıyla hâlâ 1.3.9rc2 sürümünü kullanıyor. Ancak iki hafta önce Github deposundaki kaynak kodu, güvenlik açığını gideren bir yama aldı.

Çoğu web tarayıcısı artık FTP'yi desteklememektedir, bu nedenle görünürlüğü büyük ölçüde azalmıştır. Ancak Shodan veritabanında yapılan bir araştırma bunun hala yaygın olduğunu ortaya koyuyor.




ProFTPD sunucularının küresel dağıtımı bulundu



Bulunan ProFTPD sunucularının global dağılımında Almanya ilk sırada yer alıyor.


(Resim: sh0dan)



Dünya çapında 800.000'den fazla sunucu ProFTPD kullanıyor, bunların çoğu Almanya'da – şu anda 158.500 civarında. Shodan'ın Amerika Birleşik Devletleri'nde 145.000 sunucusu var ve onu yaklaşık 75.000 örnekle Fransa izliyor. Bunlardan kaçının aslında yüksek riskli güvenlik açığına karşı savunmasız olduğu belli değil. Ancak ProFTPD bulut sunucularına sahip BT yöneticileri, bir paketin son iki hafta içinde dağıtımları için güncellenip güncellenmediğini kontrol etmeli veya gerekiyorsa sunucuyu mevcut kaynaklardan yeniden oluşturmalıdır.



Bu tür veri aktarım çözümleri çok nadir görülmekle birlikte çok sık kullanılmaktadır. Suçlular için yararlı hedeflerdirler. Geçen yıl Cl0p siber çetesi, diğer şeylerin yanı sıra MOVEit Transfer'deki güvenlik açıklarını kötüye kullanarak şirketlerden ve kuruluşlardan hassas verileri çaldı ve bunları onlara şantaj yapmak için kullandı.




(Bilmiyorum)
 
Üst