Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

ProFTPD: Angreifer können Rechte ausweiten

Eine Sicherheitslücke im populären FTP-Server ProFTPD können Angreifer missbrauchen, um ihre Rechte in verwundbaren Systemen auszuweiten. Die Entwickler haben einen Quellcode-Patch bereitgestellt, der den Fehler korrigiert.

Anzeige

Die Schwachstellenbeschreibung im CVE-Eintrag CVE-2024-48651 lautet, dass mod_sql keine sogenannten Supplemental Groups bereitstellt. Dadurch erben Nutzer die Supplemental Group mit der GID 0. Das haben Nutzer im Debian Bugtracker gemeldet und im Github-Repository von ProFTPD diskutiert – durch die Schwachstelle war demnach root-Zugriff möglich, wenn ProFTPD zusammen mit mod_sql genutzt wird. Betroffen ist ProFTPD 1.3.8b vor Commit cec01cc. In ProFTPD 1.3.5 hingegen erben Nutzer in der gleichen Situation Supplemental Group nogroup, was lediglich minimale Risiken für die Sicherheit impliziere. Das CERT-Bund des BSI stuft die Sicherheitslücke mit einem CVSS-Wert von 8.8 als hohes Risiko ein.

Wer den ProFTPD-Dienst einsetzt, sollte daher unbedingt nach aktualisierten Paketen Ausschau halten. Die ProFTPD-Webseite – sie unterstützt tatsächlich lediglich http – verweist noch auf die Version 1.3.9rc2 aus dem Dezember 2023. Im Github-Repository haben die Quelltexte jedoch vor zwei Wochen einen Flicken erhalten, der die Schwachstelle ausbessert.

Die meisten Webbrowser unterstützen FTP inzwischen nicht mehr, weshalb die Sichtbarkeit davon deutlich geringer wird. Eine Suche in der Shodan-Datenbank bringt jedoch eine noch sehr weite Verbreitung zum Vorschein.

Globale Verteilung gefundener ProFTPD-Server Globale Verteilung gefundener ProFTPD-Server

Die globale Verteilung gefundener ProFTPD-Server zeigt Deutschland auf Platz 1.

(Bild: sh0dan)

Mehr als 800.000 Server weltweit nutzen demnach ProFTPD, wobei die meisten in Deutschland stehen – derzeit rund 158.500. In den USA findet Shodan 145.000 Server, Frankreich folgt schließlich mit etwa 75.000 Instanzen. Unklar ist, wie viele davon tatsächlich für die hochriskante Schwachstelle verwundbar sind. IT-Verantwortliche mit ProFTPD-Instanzen sollten jedoch prüfen, ob es in den letzten zwei Wochen ein aktualisiertes Paket für ihre eingesetzte Distribution gab oder gegebenenfalls den Server aus aktuellen Quellen neu compilieren.

Anzeige

Solche Datentransferlösungen sind selten sichtbar, kommen aber sehr häufig zum Einsatz. Sie sind für Kriminelle lohnende Angriffsziele. So hat die Cybergang Cl0p im vergangenen Jahr Sicherheitslücken in MOVEit Transfer missbraucht, um unter anderem sensible Daten von Unternehmen und Organisationen zu stehlen und diese damit zu erpressen.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Photovoltaik: Deaktivierte Deye- und Sol-Ark-Wechs...
heise-Angebot: iX-Workshop: Sicherer Betrieb von W...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Samstag, 14. Dezember 2024

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image