Eine neue Sicherheitslücke bedroht den bekannten FTP-Server ProFTPD. Angreifer haben die Möglichkeit ihre Berechtigungen in anfälligen Systemen zu erhöhen. Die Entwickler haben reagiert und einen Patch für den Quellcode veröffentlicht.
Schwachstelle beschrieben
Laut dem CVE-Eintrag CVE-2024-48651 wird deutlich. Dass Modul mod_sql keine sogenannten Supplemental Groups bereitstellt. Aus diesem Grund erhalten Nutzer die Supplemental Group mit der GID 0. Diese Information wurde im Debian Bugtracker geteilt und ebenfalls im Github-Repository von ProFTPD angesprochen. Bei Nutzung von ProFTPD zusammen mit mod_sql konnte ein root-Zugriff erlangt werden. Betroffen sind insbesondere Versionen von ProFTPD 1.3.8b vor dem Commit cec01cc. Im Gegensatz dazu erben Nutzer in ProFTPD 1.3.5 bei gleicher Situation die Supplemental Group nogroup was nur minimale Sicherheitsrisiken mit sich bringt. Das CERT-Bund des BSI stuft die Sicherheitslücke mit einem CVSS-Wert von 8.8 als hochriskant ein.
Wichtige Handlungsempfehlungen
Wer ProFTPD verwendet, sollte dringend nach aktualisierten Paketen Ausschau halten. Die offizielle ProFTPD-Webseite verweist noch auf die Version 1.3.9rc2, veröffentlicht im Dezember 2023. Vor zwei Wochen erhielt jedoch das Github-Repository ein Update, das den Fehler behebt.
Obwohl viele Webbrowser FTP nicht weiterhin unterstützen—die Sichtbarkeit hat abgenommen—zeigt eine Suche in der Shodan-Datenbank eine weite Verbreitung des Servers. Über 800.000 Server weltweit nutzen ProFTPD. Besonders in Deutschland sind etwa 158.500 Server betroffen. In den USA sind es 145.000 & Frankreich folgt mit rund 75.000. Es bleibt unklar; ebenso wie viel dieser Server tatsächlich für die kritische Schwachstelle angreifbar sind.
IT-Verantwortliche in der Pflicht
IT-Verantwortliche sollten dringend überprüfen, ob es in den letzten zwei Wochen ein aktualisiertes Paket für ihre Distribution gibt. Sie müssen gegebenenfalls den Server aus aktuellen Quellen neu kompilieren.
Solche Datentransferlösungen sind häufig im Einsatz jedoch nur nicht häufig sichtbar. Sie stellen lohnende Ziele für Kriminelle dar. Ein Beispiel hierfür ist die Cybergang Cl0p die im vergangenen Jahr Sicherheitslücken in MOVEit Transfer ausnutzte. Dabei wurden sensiblen Daten von Unternehmen und Organisationen gestohlen und Erpressungen betrieben.
Kommentare