Ads 468x60px

tiistai 5. heinäkuuta 2011

Toinen takaovi, nyt VSFTPD:ssä

WordPress-takaovien lisäksi toinen paljon huomiota saanut takaovi on löytynyt VSFPTD-sovelluksen lähdekoodista ("Very Secure FTP Daemon"). Haavoittuvuus löytyy VSFTPD:n versiosta 2.3.4.

Julkaistun informaation mukaan takaoven laukaiseva koodi on FTP-käyttäjänimen käsittelyssä:

else if((p_str->p_buf[i]==0x3a)
&& (p_str->p_buf[i+1]==0x29))
{
  vsf_sysutil_extra();
}

Takaovi siis laukeaa, kun käyttäjänimi sisältää merkkijonon ":)". Kutsuttu funktio vsf_sysutil_extra() avaa kuuntelijan palvelimen TCP-porttiin 6200. Funktio käynnistää komentokehotteen (/bin/sh) hyökkäjän ottaessa yhteyden ko. porttiin.

Takaoven toteutus on niin yksinkertainen, että toteuttajan motiivina on ollut todennäköisesti pelkkä hauskanpito. Edistyneemmät takaovet sisältävät yleensä mekanismin, joka ilmoittaa hyökkääjälle takaoven sisältävän version käynnistämisestä. Tällöin hyökkääjän ei tarvitse skannata sokkona kaikkia maailman VSTFPD-asennuksia, vaan pelkästään odotella haavoittuvaisten sovellusten kotiinsoittoja.

Takaovi ehti olla jaettavassa paketissa ilmeisesti vain muutaman päivän ennen havaitsemista. VSFTPD on kuitenkin yleisesti käytössä oleva sovellus, joten haavoittuvaisia versioita on varmasti käytössä ympäri maailmaa.

Ko. takaovea hyväksikäyttävä moduuli on jo lisätty Metasploitiin. Sovelluksen toteuttajan tiedoksianto löytyy täältä.

1 kommentti:

Mika Laaksonen kirjoitti...

Tosta herää sellainen kysymys, että mitenköhän paljon muita vastaavia ja kenties paremmin toteutettuja takaovia muissa 0hjelmissa on ja miten helppoa niitä olisi kehitysvaiheessa ohjelmiin saada?

Kyseinen takaovi sentään huomattiin, mutta sekin oli kuitenkin päässyt tuotantoon....

Lähetä kommentti