W oficjalnym archiwum źródłowym ProFTPD 1.3.3c dystrybuowanym między 28 listopada a 2 grudnia 2010 roku osadzono złośliwy backdoor. Umożliwia on zdalnym, nieuwierzytelnionym atakującym wykonanie dowolnych poleceń systemowych z uprawnieniami root.
▸ Pokaż oryginał (EN)
A malicious backdoor was embedded in the official ProFTPD 1.3.3c source tarball distributed between November 28 and December 2, 2010. The backdoor implements a hidden FTP command trigger that, when invoked, causes the server to execute arbitrary shell commands with root privileges. This allows remote, unauthenticated attackers to run any OS command on the FTP server host.
Backdoor został wstrzyknięty bezpośrednio do oficjalnego archiwum tarball z kodem źródłowym ProFTPD 1.3.3c (CWE-912: ukryty mechanizm). Implementuje ukryte polecenie FTP, które po wywołaniu powoduje wykonanie przez serwer dowolnych poleceń powłoki systemowej (shell commands) z uprawnieniami root. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika — wystarczy sieciowy dostęp do usługi FTP.
Atakujący uzyskuje pełną kontrolę nad systemem operacyjnym serwera FTP z uprawnieniami root, co pozwala na odczyt, modyfikację lub usunięcie danych, instalację złośliwego oprogramowania oraz dalszy lateral movement w sieci.
Należy natychmiast zastąpić instalacje ProFTPD 1.3.3c wersjami pobranymi z zaufanego źródła po 2 grudnia 2010 roku lub zaktualizować do nowszej wersji producenta. Zaleca się weryfikację sum kontrolnych pobranego archiwum źródłowego zgodnie z informacjami dostępnymi na stronie producenta (proftpd.org). Należy też przeprowadzić analizę powłoki i logów serwera pod kątem nieautoryzowanego dostępu.
ProFTPD w wersji 1.3.3c — wyłącznie instalacje zbudowane ze skompromitowanego archiwum źródłowego dystrybuowanego między 28 listopada a 2 grudnia 2010 roku
Backdoor był obecny w oficjalnym archiwum źródłowym przez okres około 4 dni (28 listopada – 2 grudnia 2010). Moduł exploit dla tego backdoora jest publicznie dostępny w Metasploit Framework (proftpd_133c_backdoor.rb). CVE opublikowane formalnie w 2025 roku, mimo że incydent miał miejsce w 2010 roku.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XProftpd
APPProftpd1.3.3
Powiązane podatności
An arbitrary file copy vulnerability in mod_copy in ProFTPD up to 1.3.5b allows for remote code execution and ...
ProFTPD through 1.3.9b and 1.3.10rc2 contains an access control bypass vulnerability that allows authenticated...
make_ftp_cmd in main.c in ProFTPD before 1.3.8a has a one-byte out-of-bounds read, and daemon crash, because o...
mod_radius in ProFTPD before 1.3.7c allows memory disclosure to RADIUS servers because it copies blocks of 16 ...
In ProFTPD 1.3.7, it is possible to corrupt the memory pool by interrupting the data transfer channel. This tr...