© artmari / 123rf.com

Angreifern ist es aufgrund einer kritischen Schwachstelle in dem ProFTPD-Server möglich, Root-Rechte zu erlangen und damit das System zu übernehmen.

ProFTPD kommt als beliebte FTP-Serversoftware oft in Unternehmensnetzwerken und auf öffentlichen Servern zum Einsatz. Bei FTP handelt es sich um das File Transfer Protocol, ein Standardprotokoll, das man seit Jahrzehnten zur Übertragung nutzt, um Dateien von einem Client auf einen Server hoch- und von dort wieder herunterzuladen. Charakteristisch für FTP sind die zwei Kommunikationskanäle: ein Kontrollkanal für Befehle und Antworten sowie ein Datenkanal für den eigentlichen Datentransfer. Die Trennung erlaubt eine effiziente Übertragung großer Datenmengen. Das Protokoll unterstützt verschiedene Betriebsmodi, darunter den aktiven Modus, bei dem der Server eine direkte Verbindung zum Client aufbaut, und den passiven Modus, bei dem der Client die Kommunikation initiiert.

Trotz seiner Effizienz weist FTP aber auch Schwächen auf: Eine davon resultiert aus der Tatsache, dass Daten und Anmeldeinformationen standardmäßig unverschlüsselt hin- und herwandern. Das macht das Protokoll anfällig für Angriffe, beispielsweise das Abhören von Daten. Aus diesem Grund verwendet man heutzutage bevorzugt die verschlüsselte Variante FTPS oder das alternative Protokoll SFTP.

Die aktuelle Sicherheitslücke, die ProFTPD betrifft, macht deutlich, wie wichtig es ist, FTP-Server regelmäßig zu aktualisieren. Dessen Entwickler haben nämlich bereits einen Quellcode-Patch bereitgestellt, um das Problem zu beheben. Die Schwachstelle mit der Kennung CVE-2024-48651 [1] betrifft das Modul mod_sql. Es ermöglicht ProFTPD, Benutzerinformationen wie Authentifizierungsdaten und Zugriffsrechte aus SQL-Datenbanken (beispielsweise MySQL oder PostgreSQL) zu beziehen. Das Modul erleichtert die zentrale Verwaltung von Benutzern, kennt jedoch die sogenannten Supplemental Groups nicht, was zu einem schwerwiegenden Sicherheitsproblem führt.

Supplemental Groups sind zusätzliche Benutzergruppen, die neben der primären Gruppe eines Benutzers existieren. Sie erlauben, Zugriffsrechte differenzierter zuzuweisen. Wo es keine Supplemental Groups gibt, können Benutzer unsichere Gruppenrechte erben.

Im vorliegenden Fall erhalten sie durch die Schwachstelle die Gruppe mit der GID 0, die normalerweise Root-Rechte gewährt. Ältere Versionen wie ProFTPD 1.3.5 weisen stattdessen die Gruppe nogroup zu. Hinter Nogroup steckt eine spezielle Gruppe für Benutzer ohne spezifischen Gruppenzugehörigkeitskontext, wodurch Sicherheitsrisiken deutlich reduziert werden.

Das CERT-Bund (Computer Emergency Response Team für Bundesbehörden) des BSI bewertet die Schwachstelle mit einem CVSS-Wert von 8,8 als kritisch. CVSS (Common Vulnerability Scoring System) ist ein Standard zur Bewertung der Schwere von Sicherheitslücken. Ein Wert von 8,8 deutet auf ein hohes Risiko hin, das sofortige Maßnahmen erfordert. Immerhin gefährdet es die Vertraulichkeit, Integrität und Verfügbarkeit von Systemen erheblich.

Eine Analyse der Shodan-Datenbank zeigt, dass weltweit über 800 000 Server ProFTPD verwenden. Shodan ist eine Suchmaschine für vernetzte Geräte und Systeme, die es gestattet, Informationen über öffentlich zugängliche Server, IoT-Geräte, Webcams und andere Systeme zu sammeln. Sie scannt kontinuierlich das Internet nach solchen Geräten und erstellt eine Datenbank mit Informationen wie IP-Adressen, genutzten Diensten oder Softwareversionen.

In Deutschland stehen laut Shodan etwa 158 500 ProFTPD-Server, gefolgt von 145 000 in den USA und 75 000 in Frankreich. Es ist allerdings unklar, wie viele davon tatsächlich von der Schwachstelle betroffen sind.

Server-Administratoren sollten umgehend prüfen, ob für ihre Distribution ein Update verfügbar ist, oder den Server aus der aktuellen Quellversion neu kompilieren, um die Schwachstelle zu schließen und Angriffe zu verhindern. (jcb)