8:50
5/7/2011

Backdoor w vsftpd

W wersji 2.3.4 Very Secure FTP Daemona odnaleziono backdoora. Jeśli ktoś podczas logowania do vsftpd jako nazwę użytkownika poda :), na porcie 6200 wystartuje shell.

vsftpd 2.3.4 zbackdoorowany

vsftpd

vsftpd

sha256sum ze zbackdoorowanego tarbala:
2a4bb16562e0d594c37b4dd3b426cb012aa8457151d4718a5abd226cef9be3a5 vsftpd-2.3.4.tar.gz

Kod backdoora: http://pastebin.com/AetT9sS5

Oczywiście każdy kto sprawdza podpisy GPG przed instalacją oprogramowania mógł zauważyć, że coś jest nie tak.

$ gpg ./vsftpd-2.3.4.tar.gz.asc
gpg: Signature made Tue 15 Feb 2011 02:38:11 PM PST using DSA key ID 3C0E751C
gpg: BAD signature from "Chris Evans <chris@scary.beasts.org>"

Kto nie sprawdza podpisów, za karę będzie miał dziś trochę stresu ;)

Chris Evans, autor vsftpd a także pracownik Google poinformował, że kod źródłowy vsftpd został już przeniesiony w bardziej zaufane miejsce (Google App Engine).

Backdoor “for teh lulz”?

Evans uważa, że brak obfuskacji kodu i funkcji informującej atakującego gdzie zainstalowano zbackdoorowaną wersję vsftpd sugeruje, że backdoor może być wynikiem bardziej żartu niż realnego ataku. Chris zwraca uwagę, że logowanie się na każdy adres IP w internecie to mało wydajne podejście, ale przypomnijmy, że vsftpd jest domyślnym serwerem w wielu dystrybucjach GNU/Linux…

via AndrzejL

Przeczytaj także:


24 komentarzy

Dodaj komentarz
  1. AVE…

    Oto przykład, dlaczego wbrew wierzeniom setek “specjalistów” systemy GNU/Linux nie są wcale bezpieczniejsze od tego potwornego Windowsa. Wyobraźcie sobie, co by było, gdyby ktoś wypuścił takie na przykład Ubuntu pełne ukrytych furtek, które dodatkowo ogłasza, na jakiej maszynie jest zainstalowane i może działać jako zombie w ataku DDoS, jednocześnie będąc lepszym i wygodniejszym systemem od oryginału. Nieświadomi zagrożenia użyszkodnicy by się na tę wersję rzucili szybciej, niż ścierwojady na zdechłego konia. A jakby to był doskonały linuks serwerowy, lepszy od innych? Toż to Sodomia i Gomoria by była w sieci…

    • Są bezpieczniejsze.

      Zainstalowanie paczki, przy której manager pakietów woła, że się podpis nie zgadza można po prostu porównać do świadomej własnoręcznej instalacji trojana i winny jest tu tylko ten kto instaluje. Na czynnik ludzki po prostu nie istnieją zabezpieczenia.

      Dobra, tutaj mowa o tarballu ze stronki, więc trzeba sprawdzić ręcznie, ale tak jak jest w artcie napisane – kto nie sprawdza ten sam jest sobie winny.

    • Zabawne.
      Jak w ciągu miesiąca pojawia się kilkanaście dziur do oprogramowania M$ i userzy muszą czekać na aktualizację, która to poprawi, to jest w porządku. System has not been compromised.
      Ale niech wypłynie jeden błąd w nixach, do tego taki, który naprawić może sobie każdy użytkownik, to jest od razu pwnage całego GNU.

    • Ja wiem, że to falmebait jest, ale dodam, że właśnie dzięki mechanizmowi podpisywania paczek takie coś zostaje wykryte od razu. A poza tym żaden system nie jest doskonały…

    • @Cyber Killer – chyba nie zrozumiałeś do końca, autor komentarza pisał o zmienionej wersji ubuntu więc wszelkiego rodzaju weryfikatory mogłyby działać niepoprawnie.

      @Sergi – zacznijmy od tego, że to jest jakaś aplikacja a nie bezpośrednio linuch więc nie można mówić o kompromitacji całego systemu. Idę z tobą o zakład jeżeli chcesz, że jeżeli wszyscy używaliby danej dystrybucji linuksa to znalazłoby się multum dodatkowego oprogramowania z dziurami itp. W przypadku windowsów xp możesz pracować na koncie użytkownika bez praw administratora – jednak kto to robi? Taka prewencja zapobiegłaby jakimś 90% syfu na windowsy. Świadomość działań to podstawa jeżeli mówisz o bezpieczeństwie i chyba o to chodziło autorom artykułu.

    • Przecież tak się ciągle dzieje. Ściągnij sobie 2-3 pirackie kopie windowsa z sieci – gratis dostaniesz wirusy i/lub trojany zintegrowane z systemem. Czy to system zamknięty czy otwarty – nie ma znaczenia, użytkownik sam sobie instaluje syf na komputerze i nic nie możesz na to poradzić.

    • @Stoper – Nie piję do autora artykułu, tylko do tych wszystkich, którzy poczytują ułomność i “gorszość” Open Source’owego softu w takich dziurach.
      Faktem jest, że to głównie od użytkownika zależy, czy komputer złapie jakieś dziadostwo i na tym polu widzę przewagę takich systemów jak Linux – bardzo trudno tam, nie wiedząc co się robi, coś zainstalować. W Windowsie też próbowano tak zrobić, zwało się to bodaj UAC. Efekt był taki, że wszyscy to wyłączyli. I w ten sposób wracamy do pewnego wyświechtanego frazesu, który wszyscy czytelnicy niebezpiecznika pewnie już znają ;)

  2. No właśnie, w żadnej wersji IIS a w szczególności w 7/7.5 nie było nie ma i nie będzie takich sztuczek :)

  3. IIS nie ma i nie będzie miał też wielu innych rzeczy. Coś za coś ;)

  4. Szczerze współczuje tym, którzy zmuszeni przez niedoinformowanych, niekompetentnych szefów/użyszkodników w ogóle używają na serwerze tego archaicznego protokołu.

  5. :)

    • Welcome Master :)
      #

  6. Backdoor w “_Very Secure_ FTP Daemon” – leżę i kwiczę :-)

    Dwie uwagi: ftpd nie działa raczej na prawach roota tylko użytkownika ftp, w chroocie i z shellem /bin/false (przynajmniej defaultowo jest to w PLD, inne chyba mają tak samo), więc shell na takich prawach to raczej atrakcja dla atrakcji (fixme).

    Druga: @pielgrzym, ftp ma ten plus że jest prosty w obsłudze. I jakoś nie widzę globalnego odejścia od tego protokołu. Podobnie jak chociażby e-mail: wiadomo, że protokół jest stary, kulawy i mało elastyczny, ale przyzwyczajenie drugą naturą człowieka, ftu, internetu.

    • @zmechu, w czym obsługa ftp jest prostsza niż innych alternatywnych protokołów? Pomijam fakt, że jest wolny, zawodny i nie zabezpiecza transmisji. Od biedy nadaje się może za vpn’a albo do intranetu jakiegoś, nie ma się tu co czarować :) Faktem jest, że mało który admin może sobie pozwolić na “skazanie” userów na wybrany protokół lub rozwiązanie, ale kto powiedział, że praca admina jest łatwa :D

    • Prostota polega na tym, iż wystarczy że user kliknie na ftp://blablabla.pl/blablabla.zip i już mu się pliczek ściąga. Może kliknąć na ftp://… i otworzy mu się albo Eksplorator Windows albo Internet Explorer z możliwością przeglądania zasobów. Link postaci ftp://user:pass@blablabla pozwoli na upload (przynajmniej kiedyś tab było AFAIK). Nie wymaga ściągania dodatkowego softu i tyle.

      A szybkość? Jest coś szybszego niż ftp? Zawodny? Toż to jak ruska siekiera, nie ma prawa się popsuć :-) A że transmisji nie zabezpiecza? http, smtp i pińcet innych też.

    • @Pielgrzym
      podaj chociarz jeden, tylko jeden – prosty w obsludze i ciagnacy z maksymalna przepustowoscia lacza hosta i nie wymagajacy od uzytkownika znajomosci czegokolwiek innego poza obsluga klawiatury i myszki ?
      zawodny jest tylko wtedy gdy admin zle skonfiguruje cos, bezpieczenstwo? no sorki ale to mozna sobie dowolnie tlumaczyc i konfigurowac
      ironizujac Ciebie – wspolczuje uzyszkodnikom takiego admina, ktory zamiast im pomagac utrudnia im robote, bo nie zapominaj pierwszej zasady admina – gdyby nie uzyszkodnik = ty nie mialbys roboty

    • SFTP można użyć alternatywnie i jest to zazwyczaj polecana ścieżka. Wziąć usera, ograniczyć mu prawa, zabrać shell, wcisnąć w chroota (od jakiegoś czasu można to łatwo zrobić w configu openssh) i śmiga. Do uploadu może user użyć na legacy OS przykładowo Filezillę, a downloady publiczne wystawia się przez http.

  7. Tak, faktycznie za to, że można zrobić linka z userem, hasłem i hostem ftp autorom należy się nobel i jest to absolutnie najważniejsze, reszta to detale.
    @angel, @zmechu, a próbowałeś skasować zdalnie katalog przez ftp? Genialne, że rekurencyjnie przebiega to wysyłając komendę raz po raz dla każdego pliku/katalogu w podkatalogu. Faktycznie wydajność takiego rozwiązania jest oszołamiająca jak wyścigi na ćwierć mili ciągnikiem.
    Argument z wygodą użytkownika faktycznie jest na miejscu – może w ogóle wywalmy firewalle, antywirusy i inne cuda – przecież wygoda użytkownika ma priorytet nad bezpieczeństwem – gratuluje podejścia ala M$ przy tworzeniu win98 lub ie6. To nic, że potencjalnie istotne dane fruwają sobie bez żadnego zabezpieczenia – pewnie stosujesz typowe rozumowanie, np. przecież mnie to nie spotka, albo komu chciałoby się atakować/podsłuchiwać akurat mnie, bo taki wniosek nasuwa się z twierdzenia, że wygoda użytkownika ma priorytet nad bezpieczeństwem. Good luck.

    • To nie do końca tak. Rozdzielmy kwestię bezpieczeństwa i wygody. Jeżeli chodzi o o wygodę to ftp/http nie ma sobie równych. Już widzę problemy, gdy zwykłemu śmiertelnikowi każe się korzystać z sftp, loginów, haseł, ściągania dodatkowych aplikacji i tłumaczenie co gdzie i kiedy wpisać. A ftp jest toporne: wystarczy że link się podeśle i sprawa załatwiona. A jeżeli chodzi o bezpieczeństwo: to że login i pass jest w linku to jakaś zbrodnia? Mnóstwo innych usług leci również plaintext i jakoś ludzie z tym żyją. No nie mów że zawsze pop3 tunelujesz, łączysz się przez vpn a stronki przeglądasz albo w https albo wcale :-)

    • @zmechu, oczywiście, że nie tuneluje pop3, ale już z PGP korzystam gdy wysyłam coś poważniejszego. Co do www – tam gdzie zależy mi na bezpieczeństwie (poczta, kalendarz, sklepy, panele admina istotne, chociaż te najbardziej istotne wystawione są na port w podsieci vpn’a) to oczywiście https. Tutaj oczywiście chodzi o zdrowy rozsądek, owszem, ale bez dokonania pewnych mniej wygodnych wyborów za usera, sam ich nie dokona. To że zostawiam w lecie auto z otwartymi szybami na podwórku przed domem nie znaczy, że taki nawyk jest dobry, bo akurat w tej sytuacji względnie bezpieczny (ogrodzenie, brak drogocennych rzeczy w aucie – zupełnie jak hasło w plaintext i mało istotne dane przesyłane). Wiele naruszeń bezpieczeństwa bierze się z wygody (patrz HBGary i zfabrykowany mejl do admina: weź mi wystaw shella z dostępem do roota, bo to dla mnie _wygodne_ – prosta socjotechnika, która podziałała, bo pewne wygodne nawyki były utrwalone). Te problemy z userami opornymi na rozwiązania których nie znają to chleb powszedni każdego admina (ile się musiałem w firmie nawalczyć, żeby każdy miał dostęp przez openvpn – koszmar! Potem druga fala revokeów, bo “zapomniałem hasła do klucza” itp), nie jest dla mnie argumentem, że trzeba ich unikać :)

    • @Pielgrzym
      sorki ale chyba cos tu ci sie pomylilo z deko
      z jednej strony mowisz ze ftp jest oki i wogole, do malo waznych rzeczy itp, a z drugie probojesz przeforsowac … now wlasnie sam juz nie wiem co
      zauwaz ze my mowimy o dostepie ftp dla uzyszkodnikow, wiec jesli mam ci to przetlumaczyc, jest to osoba ktora w najlepszym przypadku wie jak uzywac komputera [ chociarz z mojego doswiadczenia zadko sie to zdaza ], wiec w miare mozliwosci musi to byc proste, skuteczne i zawierac jak najmniej instrukcji, i w tym przypadku ftp sie nadaje
      jesli mowa o bezpieczenstwie, to sorki, nigdy ale to przenigdy bym niedopuscil zeby porty/protokol ftp sobie “fruwaly” bo mam taka wygode, otwieram bo potrzebuje/ zamykam jak juz potrzeby nie ma, juz nie mowiac o tym ze nie poleca po stadardowych, tylko raczej po calkowicie innych portach [ zeby sie przez przypadek nie nadziac na jakis scaner z sieci ]
      i kazdy admin sie zgodzi w tym przypadku z toba, wazne dane sie puszcza po niestadardowych portach i dodatkowo szyfrujac je przed wyslaniem, albo po prostu sie tworzy tymczasowa “pajenczynke” zeby przeslac co potrzeba

      ps. jesli nie pracujesz jako admin w jakies tajnej/finansowej/medycznej/itp instytucji to wspolczuje twoim uzyszkodnikom

    • @pielgrzym: masz całkowitą rację :-) Z ftp o którym rozmawiamy właśnie o to chodzi: jest to prosta w implementacji usługa, prosta w obsłudze, szybka, tania i wygodna. Gdzie umieszcza się dane, do których każdy może mieć dostęp lub poufność jest znikoma. Lwia część publicznych ftp to serwerki ze sterownikami urządzeń, kernelami Linuksa, softem a w najgorszym razie zdjęciami cioci Marysi. A gdy dodatkowo instaluje ze źródeł z głową (pgp) lub z paczek z dystrybucji + ftp w chroocie i nie na prawach roota – ryzyko włamu ta drogą jest zapewne w granicach mierzalności.

      A rzeczy istotne to tak jak napisałeś: w tunel i po sprawie. O ile oczywiście śpisz spokojnie w przekonaniu iż w sshd nie ma backdora FBI, a źródła IPSEC od miesiąca są skompromitowane ;-)

      Reasumując: paranoja jest dobrą cechę sysadmina, niemniej nie popadajmy w przesadę. Każde rozwiązanie ma swoje plusy dodatnie i plusy ujemne i kwestia tego co jest ważniejsze. Jakoś nie widzę admina, który w firmie 2.5k pracowników rzuci hasło: ftp jest be, http jest be, GG jest be, przechodzimy na svn, transparent socks proxy oraz transporty jabbera. Mail na IMAP i hasła 25 znaków w tym min. 15 specjalnych. Taki admin dla podkreślenia znaczenia słów może od razu nałożyć strój szamana voo-doo ;-)

    • @angel, gdzie napisałem, że ftp jest ok? Skąd kwestia otwartych portów? Czy ja poruszałem temat jakiś exploitów? Zabezpieczasz to badziewie jak możesz i unosisz się dumą, jakbym co najmniej obraził Twoją rodzinę, a nie wyrażał się o przestarzałym protokole. Używaj sobie czego chcesz i jak chcesz – Twoja praca, Twoja broszka. Akurat szyfrowanie danych przed wysłaniem przez ftp to faktycznie najprostsze rozwiązanie (zanim zarzucisz mi, że mówię, iż ftp jest oki sprawdź słownikową definicję słowa sarkazm). Szkoda mi słów na taką czczą gadaninę.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: