【警惕 ProFTPD 高危安全漏洞(CVE-2015-3306)】全球预警报告v1

知道创宇安全研究团队    2015 . 04. 23

本文 PDF 下载：CVE-2015-3306 漏洞 全球预警报告v1

---

一、漏洞概要

 

漏洞信息

近日，开源 FTP 服务器程序 ProFTPd 被曝出一个未授权文件复制漏洞（CVE-2015-3306），该漏洞是由于 ProFTPd 中的 mod_copy 模块造成的。攻击者在一定条件下可利用该漏洞直接获得服务器权限。通过网络空间搜索引擎 ZoomEye 进行全网搜索，发现 ProFTPd 在全球网络空间中被普遍使用，该漏洞对欧美国家的服务器影响较大，中国受影响服务器的数量较少。

漏洞描述

ProFTPd 的 mod_copy 模块本用于文件复制操作，但在存在漏洞的版本中，mod_copy 模块的相关命令操作未设置访问授权验证，导致任意客户端均能通过特定命令对系统中任意文件进行复制，在一定条件下攻击者能够利用该漏洞获取系统敏感文件、获取服务器权限等。

目前，在许多 Linux 发行版（如 Debian）的软件包中，ProFTPd 都被默认安装并加载了存在该漏洞的 mod_copy 模块，直接对系统构成威胁。

漏洞影响

• 所有使用 ProFTPd 的服务器。

修复方案

目前 ProFTPd 官网（http://www.proftpd.org）提供下载的版本中并未修复该漏洞，但在开发版本（https://github.com/proftpd/proftpd/）中修复了该漏洞（增加了授权验证）。因此目前临时修复该漏洞的方法有两种：

•  从 https://github.com/proftpd/proftpd/ 上克隆最新源代码，重新编译安装；
•  暂时停用 mod_copy 模块，将 /etc/proftpd/modules.conf 配置文件中 LoadModule mod_copy.c 一行更改为 #LoadModule mod_copy.c，并重启 ProFTPd 服务。

二、ZoomEye应急概要

 

全球受漏洞影响服务器分布

知道创宇安全研究团队通过网络空间搜索引擎 ZoomEye 进行全网搜索，得出目前全球 1,223,131 台设备中受 ProFTPd 漏洞影响的服务器有 57,445 台，占比 4.7%。

受漏洞影响服务器数量全球排名 TOP 10

受该漏洞影响的服务器数量全球排名前三分别是：德国 15,966台（占全球受影响服务器比例27.8%）、美国 10,995台（占比19.1%）以及法国 5,479台（占比9.5%）。中国受影响服务器共有109台（占比0.2%）， 全球排名第 34 位。

▲图 1  受漏洞影响服务器数量全球分布 TOP 10

受漏洞影响服务器所属厂商 TOP 10

如图2所示，受漏洞影响服务器所属公司/组织中 HetznerOnlineAG 有4,561台（7.94%）、OVHSAS有2,747台（4.78%）、Savvis 有 1,994 台（3.47%）。其中，美国最大的网络电子商务公司亚马逊使用的服务器也被检测出有 1,670 台存在该漏洞，占比 2.9%，全球排名第四位。

▲图 2  受漏洞影响服务器所属公司/组织TOP 10

全球受漏洞影响的互联网服务提供商分布 TOP 10

全球主要受漏洞影响的互联网服务提供商分布如图3所示。

▲图 3  全球受漏洞影响的互联网服务提供商分布TOP 10

全球受漏洞影响服务器地理分布

全球主要受漏洞影响服务器地理分布如图4所示。

 

▲图 4  受漏洞影响服务器地理分布比例