RSS Feed
更好更安全的互联网

【警惕 ProFTPD 高危安全漏洞(CVE-2015-3306)】全球预警报告v1

2015-04-27

4.276

知道创宇安全研究团队    2015 . 04. 23

本文 PDF 下载CVE-2015-3306 漏洞 全球预警报告v1


一、漏洞概要

 

漏洞信息

近日,开源 FTP 服务器程序 ProFTPd 被曝出一个未授权文件复制漏洞(CVE-2015-3306),该漏洞是由于 ProFTPd 中的 mod_copy 模块造成的。攻击者在一定条件下可利用该漏洞直接获得服务器权限。通过网络空间搜索引擎 ZoomEye 进行全网搜索,发现 ProFTPd 在全球网络空间中被普遍使用,该漏洞对欧美国家的服务器影响较大,中国受影响服务器的数量较少。

漏洞描述

ProFTPd 的 mod_copy 模块本用于文件复制操作,但在存在漏洞的版本中,mod_copy 模块的相关命令操作未设置访问授权验证,导致任意客户端均能通过特定命令对系统中任意文件进行复制,在一定条件下攻击者能够利用该漏洞获取系统敏感文件、获取服务器权限等。

目前,在许多 Linux 发行版(如 Debian)的软件包中,ProFTPd 都被默认安装并加载了存在该漏洞的 mod_copy 模块,直接对系统构成威胁。

漏洞影响

  • 所有使用 ProFTPd 的服务器。

修复方案

目前 ProFTPd 官网(http://www.proftpd.org)提供下载的版本中并未修复该漏洞,但在开发版本(https://github.com/proftpd/proftpd/)中修复了该漏洞(增加了授权验证)。因此目前临时修复该漏洞的方法有两种:

  •  从 https://github.com/proftpd/proftpd/ 上克隆最新源代码,重新编译安装;
  •  暂时停用 mod_copy 模块,将 /etc/proftpd/modules.conf 配置文件中 LoadModule mod_copy.c 一行更改为 #LoadModule mod_copy.c,并重启 ProFTPd 服务。

二、ZoomEye应急概要

 

全球受漏洞影响服务器分布

知道创宇安全研究团队通过网络空间搜索引擎 ZoomEye 进行全网搜索,得出目前全球 1,223,131 台设备中受 ProFTPd 漏洞影响的服务器有 57,445 台,占比 4.7%。

受漏洞影响服务器数量全球排名 TOP 10

受该漏洞影响的服务器数量全球排名前三分别是:德国 15,966台(占全球受影响服务器比例27.8%)、美国 10,995台(占比19.1%)以及法国 5,479台(占比9.5%)。中国受影响服务器共有109台(占比0.2%), 全球排名第 34 位。

4.271

▲图 1  受漏洞影响服务器数量全球分布 TOP 10

受漏洞影响服务器所属厂商 TOP 10

如图2所示,受漏洞影响服务器所属公司/组织中 HetznerOnlineAG 有4,561台(7.94%)、OVHSAS有2,747台(4.78%)、Savvis 有 1,994 台(3.47%)。其中,美国最大的网络电子商务公司亚马逊使用的服务器也被检测出有 1,670 台存在该漏洞,占比 2.9%,全球排名第四位。

22222

▲图 2  受漏洞影响服务器所属公司/组织TOP 10

全球受漏洞影响的互联网服务提供商分布 TOP 10

全球主要受漏洞影响的互联网服务提供商分布如图3所示。

4.273

▲图 3  全球受漏洞影响的互联网服务提供商分布TOP 10

全球受漏洞影响服务器地理分布

全球主要受漏洞影响服务器地理分布如图4所示。

4.274

 

▲图 4  受漏洞影响服务器地理分布比例

 

 

发表评论