受欢迎的 FTP 服务器 ProFTPD 被发现含有一个严重的安全漏洞,攻击者可借此取得易受攻击系统的 root 访问权限。 该漏洞被追踪为 CVE-2024-48651 (CVSS 7.5),存在于 ProFTPD 1.3.8b 及更早版本的 mod_sql 组件中。
该漏洞源于对补充组(分配给用户的附加组成员资格)的不当处理。 在受影响的版本中,如果用户没有任何明确分配的补充组,他们就会继承带有 GID 0(root)的补充组。 这种意外继承会授予用户未经授权的 root 权限,从而可能导致系统完全崩溃。
该问题最初由用户在 Debian Bug 跟踪器中报告,随后在 ProFTPD Github 存储库中进行了讨论。 开发人员已通过源代码补丁解决了该漏洞,并敦促用户立即更新其安装。
广泛影响
ProFTPD 服务器
虽然随着更安全协议的兴起,FTP 的使用率有所下降,但 ProFTPD 仍被广泛部署。Shodan 扫描显示,全球有近 80 万台服务器在运行 ProFTPD,其中德国、美国和法国的服务器最为集中。受攻击实例的确切数量尚不清楚,但被广泛利用的可能性很大。
缓解措施
强烈建议运行 ProFTPD 服务器的 IT 管理员采取以下措施:
- 更新:检查分发提供商提供的包含安全补丁的更新软件包。
- 重新编译: 如果没有更新包,请根据 ProFTPD Github 代码库中的最新源代码重新编译服务器。
- 监控: 密切监控系统日志中的任何可疑活动。
企业应尽可能优先迁移到更安全的替代方案,如 SFTP 或 FTPS。