近日,腾讯云安全运营中心监测到知名FTP服务软件 ProFTPD 被曝存在远程命令执行漏洞(漏洞编号:CVE-2019-12815),攻击者可利用该漏洞在没有权限的情况下拷贝FTP服务器上的任何文件。目前,互联网上数百万安装了 ProFTPD 的服务器可能存在该漏洞风险。
为避免您的业务受影响,云鼎实验室建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。同时建议云上租户免费开通「安全运营中心」-安全情报,及时获取最新漏洞情报、修复方案及数据泄露情况,感知云上资产风险态势。
【风险等级】
高风险
【漏洞影响】
未授权的拷贝 FTP 服务器任意文件
【漏洞详情】
ProFTPD 是一个开源和跨平台的 FTP 服务器,在全球有大量用户使用,是最受欢迎的 FTP 服务器之一,其支持类 UNIX 和 Windows 操作系统平台。
近日,ProFTPD 官方修复了一个任意文件拷贝漏洞(CVE-2019-12815),该漏洞由于 mod_copy 模块中的自定义 SITE CPFR 和 SITE CPTO 这两个操作命令不符合预期读写配置所致,攻击者利用成功可在没有权限的情况下拷贝 FTP 服务器上的任意文件。
【影响版本】
ProFTPD <= 1.3.6
【安全版本】
ProFTPD 1.3.6以上
【修复建议】
❶ 官方暂未发布修复版本 ProFTPD ,建议受影响的用户关注官方链接修复。
下载地址:https://github.com/ProFTPd/ProFTPd/releases
❷ 如不方便进行升级,可将 mod_copy 模块禁用来进行临时防护,详细操作如下:
1)找到配置文件并编辑,注释掉受影响的行:
➢Ubuntu默认配置文件目录:/etc/proftpd/modules.conf
➢CentOS默认配置文件目录:/etc/proftpd.conf
# LoadModule mod_copy.c 注释掉 mod_copy 所在行,若已注释,则不受影响
2)重启 FTP 服务并生效:service proftpd restart
【漏洞参考】
[1]官方通告:http://bugs.proftpd.org/show_bug.cgi?id=4372
[2]社区参考:https://www.bleepingcomputer.com/news/security/proftpd-remote-code-execution-bug-exposes-over-1-million-servers/
关于云鼎实验室
腾讯安全云鼎实验室一直专注于云领域前沿安全技术研究与创新,以及云标准化与合规体系建设等工作。通过机器学习与大数据技术实时监测并分析各类风险信息,同时,云鼎实验室帮助客户抵御高级可持续攻击,并联合腾讯安全其他实验室进行安全漏洞的研究,确保云计算平台整体的安全性,且相关能力通过腾讯云开放出来。云鼎实验室在云安全领域的研究与实战积累,使得腾讯云能够为企业和创业者提供集云计算、云数据、云运营于一体的云端服务体验,同时也是最可信的安全防护平台之一。