Seorang peneliti keamanan Jerman telah mengungkapkan secara terbuka rincian kerentanan serius di salah satu aplikasi server FTP paling populer, yang saat ini sedang digunakan oleh lebih dari satu juta server di seluruh dunia.
Perangkat lunak rentan yang dimaksud adalah ProFTPD , server FTP open source yang digunakan oleh sejumlah besar bisnis dan situs web populer termasuk SourceForge, Samba dan Slackware, dan telah diinstal sebelumnya dengan banyak distribusi Linux dan Unix, seperti Debian.
Ditemukan oleh Tobias Mädel , kerentanan berada di modul mod_copy aplikasi ProFTPD, komponen yang memungkinkan pengguna untuk menyalin file / direktori dari satu tempat ke tempat lain di server tanpa harus mentransfer data ke klien dan kembali.
Menurut Mädel, masalah kontrol akses yang salah dalam modul mod_copy dapat dieksploitasi oleh pengguna yang diautentikasi untuk secara tidak sah menyalin file apa pun di lokasi tertentu dari server FTP yang rentan di mana pengguna tidak diperbolehkan menulis file.
Dalam keadaan yang jarang terjadi, cacat juga dapat menyebabkan eksekusi kode jauh atau serangan pengungkapan informasi.
John Simpson , seorang peneliti keamanan di Trend Micro, mengatakan kepada The Hacker News bahwa untuk berhasil mencapai eksekusi kode jauh pada server yang ditargetkan, penyerang perlu menyalin file PHP berbahaya ke lokasi di mana ia dapat dieksekusi.
Oleh karena itu, penting untuk dicatat bahwa tidak setiap server FTP yang menjalankan ProFTPD rentan dapat dibajak dari jarak jauh, karena penyerang memerlukan login ke server yang ditargetkan masing-masing, atau server harus mengaktifkan akses anonim.
Kerentanan, ditetapkan sebagai CVE-2019-12815, memengaruhi semua versi ProFTPd, termasuk versi 1.3.6 terbaru yang dirilis pada 2017.
Karena modul mod_copy diaktifkan secara default di sebagian besar sistem operasi menggunakan ProFTPD, cacat tersebut berpotensi mempengaruhi sejumlah besar server.
Menurut penasihat , masalah yang baru ditemukan terkait dengan kerentanan serupa berusia 4 tahun (CVE-2015-3306) dalam modul mod_copy yang memungkinkan penyerang jarak jauh untuk membaca dan menulis ke file sewenang-wenang melalui situs CPFR dan perintah situs CPTO .
Mädel melaporkan kerentanan terhadap pengelola proyek ProFTPd pada September tahun lalu, tetapi tim tidak melakukan tindakan apa pun untuk mengatasi masalah ini selama lebih dari 9 bulan.
Jadi, peneliti menghubungi Tim Keamanan Debian bulan lalu, setelah itu tim ProFTPD akhirnya membuat tambalan dan minggu lalu hanya men-backportnya ke ProFTPD 1.3.6 tanpa merilis versi baru dari server FTP-nya.
Sebagai solusinya, administrator server juga dapat menonaktifkan modul mod_copy dalam file konfigurasi ProFTPd untuk melindungi diri dari korban serangan yang terkait dengan cacat ini.
Sumber Artikel : TheHackerNews
