RUS CERT IT Sicherheit

Deutschsprachige IT Sicherheitsmeldungen des RUS CERT (Computer Emergency Response Team des Rechenzentrums der Universität Stuttgart).

Security News Artikel #1656

Zurück zur Übersicht

Meldung Nr: RUS-CERT-1656

[Unixoid/ProFTP] Hintertür in ProFTP 1.3.3c
(2010-12-03 13:38:17.45328+00)

Quelle: http://sourceforge.net/mailarchive/forum.php?thread_name=alpine.DEB.2.00.1012011542220.12930%40familiar.castaglia.org&forum_name=proftp-announce

Im Rahmen eines erfolgreichen Angriffs am 28. November 2010 auf den Hauptdistributionsserver für die freie FTP-Server-Software ProFTP wurde der auf diesem Server zum Herunterladen bereitgestellte ProFTP-Code durch manipulierten Code ersetzt, der eine Hintertür öffnet, sobald der Server gestartet wird. Die Hintertür stellt dem Eindringling unmittelbar administrative Privilegien auf dem beherbergenden System zur Verfügung. Der veränderte Code wurde zwar kurz nach der Kompromittierung durch die verantwortlichen Administratoren entfernt, da jedoch von diesem Server aus alle Spiegelserver versorgt werden, kann nicht ausgeschlossen werden, dass die verseuchte Softwareversion auf Spiegelserver gelangt ist oder dort ggf. sogar noch liegt.

Inhalt

Zusammenfassung

Betroffene Systeme

Nicht betroffene Systeme

Plattform

Einfallstor

  • Installation der durch den Angreifer modifizierten Version von ProFTPD 1.3.3c

Angriffsvoraussetzung

  • Benutzerinteraktion - der Administrator eines betroffenen Systems muss die durch den Angreifer modifizierte Version von ProFTPD 1.3.3c installieren
    (user interaction)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Bereitstellung einer root-Shell über eine Hintertür
    (system compromise)

Typ der Verwundbarkeit

  • malware

Gefahrenpotential

  • sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Am 28. November 2010 um ca. 21:00 Uhr MEZ wurde der Hauptdistributionsserver für die freie FTP-Server-Software ProFTP über eine derzeit nicht näher bekannte Schwachstelle in der Serversoftware (ebenfalls ProFTP) erfolgreich angegriffen. In Folge wurde der auf diesem Server zum Herunterladen bereitgestellte Code der ProFTP-Server-Softwar durch manipulierten Code ersetzt. Dieser Code erzeugt beim Übersetzen und Installieren eine Version des proftpd die eine Hintertür öffnet, sobald der Server gestartet wird. Die Hintertür stellt dem Eindringling unmittelbar administrative Privilegien auf dem beherbergenden System zur Verfügung; die Installation des modifizierten Codes führt also unmittelbar zur Kompromittierung des beherbergenden Systems. Darüberhinaus meldet sich ein betroffenes System bei einem Command&Control-Server in Saudi-Arabien.

Der veränderte Code wurde zwar kurz nach der Kompromittierung durch die verantwortlichen Administratoren ersetzt, da jedoch von diesem Server aus alle Spiegelserver versorgt werden, kann nicht ausgeschlossen werden, dass die verseuchte Softwareversion auf Spiegelserver gelangt ist oder dort ggf. sogar noch liegt.

Aus diesem Grund ist es essentiell, Installationen, die in der fraglichen Zeit aufgesetzt wurden, auf Komplromittierung zu untersuchen. Die Prüfsummen von ProFTP-Distributionen, die seit dem 28.11.2010 von einem der Spiegelserver heruntergeladen wurden, sollten mit den aktuellen offiziellen Prüfsummen abgeglichen werden, um festzustellen, ob nicht etwa ein modifiziertes Exemplar geladen wurde.

Workaround

Gegenmaßnahmen

  • Nach Installation einer modifizierten Version von ProFTPD 1.3.3c ist das beherbergende System als kompromittiert anzusehen und entsprechend zu behandeln:
    Kompromittierte Systeme sollten umgehend forensisch untersucht werden. Potentiell gefährdet sind Systeme, die seit dem 28. November 2010, 21:00 Uhr MEZ bis mindestens 2. Dezember 2010 installiert wurden. Eine Untersuchung sollte mit dem Abgleich der Hashes (s.o.) auf einem vertrauenswürdigen System beginnen, wobei eine Übereinstimmung mit den offizellen Hashes kein hinreichendes Kriterium für die Nichtkompromittierung des betroffenen Systems ist.

Exploit Status

  • Der modifizierte Code selbst ist Exploit-Code. (malware)
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/


http://cert.uni-stuttgart.de/ticker/article.php?mid=1656
 

Scannen Sie den Barcode um die Webseite zu öffnen


Quelle: http://www.trinler.net/de/news/it/cert/1656
Gedruckt am: 26.04.2017 19:47 GMT+0200 (2017-04-26T19:47:07+02:00)