CRITICAL🇬🇧 English

CVE-2010-20103

Backdoor w ProFTPD 1.3.3c umożliwiający zdalne wykonanie kodu jako root

CVSS 9.3v4.0pub. 2025-08-20upd. 2025-09-24

W oficjalnym archiwum źródłowym ProFTPD 1.3.3c dystrybuowanym między 28 listopada a 2 grudnia 2010 roku osadzono złośliwy backdoor. Umożliwia on zdalnym, nieuwierzytelnionym atakującym wykonanie dowolnych poleceń systemowych z uprawnieniami root.

Pokaż oryginał (EN)

A malicious backdoor was embedded in the official ProFTPD 1.3.3c source tarball distributed between November 28 and December 2, 2010. The backdoor implements a hidden FTP command trigger that, when invoked, causes the server to execute arbitrary shell commands with root privileges. This allows remote, unauthenticated attackers to run any OS command on the FTP server host.

🤖 Analiza AI
Jak działa

Backdoor został wstrzyknięty bezpośrednio do oficjalnego archiwum tarball z kodem źródłowym ProFTPD 1.3.3c (CWE-912: ukryty mechanizm). Implementuje ukryte polecenie FTP, które po wywołaniu powoduje wykonanie przez serwer dowolnych poleceń powłoki systemowej (shell commands) z uprawnieniami root. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika — wystarczy sieciowy dostęp do usługi FTP.

Skutki

Atakujący uzyskuje pełną kontrolę nad systemem operacyjnym serwera FTP z uprawnieniami root, co pozwala na odczyt, modyfikację lub usunięcie danych, instalację złośliwego oprogramowania oraz dalszy lateral movement w sieci.

Mitygacja

Należy natychmiast zastąpić instalacje ProFTPD 1.3.3c wersjami pobranymi z zaufanego źródła po 2 grudnia 2010 roku lub zaktualizować do nowszej wersji producenta. Zaleca się weryfikację sum kontrolnych pobranego archiwum źródłowego zgodnie z informacjami dostępnymi na stronie producenta (proftpd.org). Należy też przeprowadzić analizę powłoki i logów serwera pod kątem nieautoryzowanego dostępu.

Kogo dotyczy

ProFTPD w wersji 1.3.3c — wyłącznie instalacje zbudowane ze skompromitowanego archiwum źródłowego dystrybuowanego między 28 listopada a 2 grudnia 2010 roku

Uwagi

Backdoor był obecny w oficjalnym archiwum źródłowym przez okres około 4 dni (28 listopada – 2 grudnia 2010). Moduł exploit dla tego backdoora jest publicznie dostępny w Metasploit Framework (proftpd_133c_backdoor.rb). CVE opublikowane formalnie w 2025 roku, mimo że incydent miał miejsce w 2010 roku.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Proftpd

    APP
    Proftpd
    1.3.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2019-12815CRITICAL9.8ten sam produkt

An arbitrary file copy vulnerability in mod_copy in ProFTPD up to 1.3.5b allows for remote code execution and ...

CVE-2026-35025HIGH8.6ten sam produkt

ProFTPD through 1.3.9b and 1.3.10rc2 contains an access control bypass vulnerability that allows authenticated...

CVE-2023-51713HIGH7.5ten sam produkt

make_ftp_cmd in main.c in ProFTPD before 1.3.8a has a one-byte out-of-bounds read, and daemon crash, because o...

CVE-2021-46854HIGH7.5ten sam produkt

mod_radius in ProFTPD before 1.3.7c allows memory disclosure to RADIUS servers because it copies blocks of 16 ...

CVE-2020-9273HIGH8.8ten sam produkt

In ProFTPD 1.3.7, it is possible to corrupt the memory pool by interrupting the data transfer channel. This tr...