Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SICUREZZA INFORMATICA

Vulnerabilità in ProFTPD, un milione di server a rischio hacking e non c’è patch: che c’è da sapere

È stata scoperta una pericolosa vulnerabilità in ProFTPD che espone ad attacco informatico oltre un milione di server in tutto il mondo, con conseguente furto di dati e informazioni riservate. Ecco i dettagli tecnici e i consigli per mitigare i rischi e prevenire un possibile attacco

23 Lug 2019

Una vulnerabilità in ProFTPD sta esponendo ad un serio rischio di attacchi informatici oltre un milione di server in tutto il mondo. Sfruttando con successo la vulnerabilità identificata come CVE-2019-12815, i criminal hacker sarebbero infatti in grado di eseguire codice arbitrario da remoto e accedere così ad informazioni riservate.

Secondo il ricercatore Tobias Mädel che è riuscito ad individuare la falla di sicurezza, il problema risiede nel modulo mod_copy attivo di default in tutte le installazioni dei server ProFTPD e al quale vengono demandate le operazioni di lettura e scrittura dei file.

Vulnerabilità in ProFTPD: l’analisi tecnica

ProFTPD, lo ricordiamo, è un server FTP open source e multipiattaforma con supporto per la maggior parte dei sistemi UNIX-like e Windows, oltre ad essere uno dei più popolari e utilizzati sulle piattaforme basate su UNIX insieme a Pure-FTPd e vsftpd.

Tutte le versioni di ProFTPd fino all’ultima 1.3.6 inclusa sono influenzate dalla vulnerabilità che, come dicevamo, consente ad un attaccante remoto di eseguire codice arbitrario sul server target senza la necessità di autenticazione e sfruttando i diritti di amministrazione del servizio ProFTPD.

Ai criminal hacker basta quindi usare i comandi SITE CPFR e SITE CPTO del modulo mod_copy per eseguire qualsiasi operazioni di lettura e scrittura sui server vulnerabili aggirando tutti i sistemi di autenticazione attivi sul server.

Ciò è possibile, secondo il ricercatore di sicurezza, perché i comandi di lettura e scrittura sono stati mal programmati e non rispettano le configurazioni come previsto.

La vulnerabilità sarebbe inoltre la variante di un’altra già identificata nel 2015 come CVE-2015-3306 che consentiva ad un attaccante di leggere e scrivere su file arbitrati archiviati nella memoria dei server vulnerabili.

Come mitigare il rischio di attacco informatico

webinar, 21 aprile
Smartworking e Security: come fronteggiare gli attacchi che sfruttano l’emergenza da Coronavirus?
Sicurezza
Sicurezza

Per comprendere la reale pericolosità di questa nuova vulnerabilità individuata nei server ProFTPD è sufficiente eseguire una ricerca su Shodan, il servizio online che permette di individuare qualsiasi dispositivo connesso a Internet: ad oggi risultano essere attivi più di un milione di server ProFTPD (di cui 24.299 in Italia).

E nessuno di questi, purtroppo, può essere patchato in quanto neanche per l’ultima versione di ProFTPD, la 1.3.6 risalente all’aprile del 2017, è stato rilasciato un aggiornamento.

Al momento, quindi, per prevenire un possibile attacco informatico ai propri server, gli amministratori di sistema dovrebbero disabilitare immediatamente il modulo mod_copy nel file di configurazione di ProFTPD.

L’enorme numero di server vulnerabili e l’attuale mancanza di patch rende questa vulnerabilità molto “attraente” per i criminal hacker che potrebbero sfruttarla per compromettere e infettare i server con malware e altri codici malevoli di ogni genere.

Un’eventualità tutt’altro che rara: ricordiamo, infatti, che i criminali informatici stanno attualmente sfruttando alcune vulnerabilità presenti sui server Jira ed Exim (quest’ultimo molto utilizzato anche in Italia come server di posta elettronica) per infettarli con una variante del trojan Watchbog per Linux e sfruttarne la potenza di calcolo per estrarre criptovaluta Monero.

In particolare, i criminal hacker hanno impiegato soltanto 12 giorni per “confezionare” un exploit che ha consentito loro di sfruttare la vulnerabilità CVE-2019-11581 dei server Jira.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4