ProFTPD, FTP 서버에서 새로운 "임의 파일 복사" 결함 발견돼

A New 'Arbitrary File Copy' Flaw Affects ProFTPD Powered FTP Servers

독일의 한 보안 연구원이 인기 있는 FTP 서버 애플리케이션인 ProFTPD에서 발견한 심각한 취약점 공개했습니다. 

이 애플리케이션은 전 세계 백만 대 이상의 서버에서 사용되고 있습니다.

ProFTPD는 오픈소스 FTP 서버로 SourceForge, Samba, Slackware를 포함한 많은 기업 및 웹사이트에서 사용되고 있으며, Debian과 같은 리눅스 및 유닉스 배포판에 탑재되어 출시됩니다.

이 취약점은 ProFTPD 애플리케이션의 mod_copy 모듈에 존재합니다. 

이는 사용자들이 데이터를 클라이언트로 보내고 받을 필요 없이 한 서버에서 다른 서버로 파일/디렉터리를 복사하도록 해주는 컴포넌트입니다.

전문가에 따르면, mod_copy 모듈의 잘못된 접근 제어 문제는 파일을 쓰도록 허용되지 않은 인증된 사용자가 취약한 FTP 서버의 특정 위치에서 무단으로 파일을 복사하는데 악용될 수 있습니다.

또한, 이 결함으로 원격 코드 실행이나 정보 유출 공격도 가능할 것으로 추측됩니다.

보안 연구원인 John Simpson은 타깃 서버에서 원격으로 코드를 실행하기 위해, 공격자는 악성 PHP 파일을 실행 장소에 복사해야 한다고 전했습니다.

따라서 공격자가 타깃 서버에 로그인을 하거나, 서버에 익명 접근 기능을 활성화 해둔 상태여야 합니다.

하지만 취약한 ProFTPD를 사용 중인 모든 FTP 서버가 원격으로 하이잭이 가능한 것은 아닙니다.

<이미지 출처: https://thehackernews.com/2019/07/linux-ftp-server-security.html>

CVE-2019-12815로 등록된 이 취약점은 2017년 공개된 최신 1.3.6 버전을 포함한 ProFTPD의 모든 버전에 영향을 미칩니다.

Mod_copy 모듈은 ProFTPD를 사용하는 OS 대부분에서 기본적으로 활성화된 상태이기 때문에 이 취약점은 많은 서버들에 영향을 미칠 수 있습니다.

이 취약점은 4년 전 발견된 CVE-2015-3306 취약점과 유사한 점이 존재합니다.

이 취약점은 원격 공격자가 site CPFR 및 site CPTO 명령어를 통해 임의의 파일을 읽고 쓸 수 있도록 허용합니다.

보안 전문가는 ProFTPD 프로젝트의 관리자 팀에 작년 9월 이 문제를 제보했으나, 9개월 동안 아무런 조치가 취해지지 않았다고 밝혔습니다.

ProFTPD 팀은 지난 주 새로운 버전을 공개하진 않았으나, 취약점 패치를 만들어  ProFTPD 1.3.6 버전에 백포팅했습니다. 

서버 관리자들은 이 취약점과 관련된 공격을 피하기 위해 ProFTPD의 구성 파일에서 mod_copy 모듈을 비활성화 하는 방법을 사용할 수 있습니다.

출처:

https://thehackernews.com/2019/07/linux-ftp-server-security.html

https://tbspace.de/cve201912815proftpd.html

https://github.com/proftpd/proftpd/pull/816