SQL-Injection-Schwachstelle in ProFTPD ermöglicht Remote Code Execution Angriffe

ProFTPD verwendet das mod_sql-Modul, um Administratoren zu ermöglichen, Benutzer über eine Datenbank zu authentifizieren oder die Serveraktivität zu protokollieren. Administratoren verwenden oft die Direktive SQLNamedQuery, um Protokolle zu speichern und verlassen sich dabei auf spezielle Variablen wie %U, um den angeforderten Benutzernamen einzufügen.

Die Schwachstelle ergibt sich aus einem logischen Fehler in der Funktion is_escaped_text(), die zur Verarbeitung dieser Protokollvariablen verwendet wird.

Wenn ein Angreifer Text eingibt, der mit einem einzelnen Anführungszeichen beginnt und endet, ohne Anführungszeichen dazwischen, geht das System fälschlicherweise davon aus, dass die Eingabe bereits sicher ist.

ProFTPD’s SQL Injection Vulnerability Dies umgeht

ProFTPD’s SQL Injection Vulnerability Dies umgeht standardmäßige Bereinigungsprozesse und ermöglicht es einem böswilligen Benutzer, einen spezifischen Benutzernamen zu erstellen, der die Datenbank dazu verleitet, nicht autorisierte SQL-Befehle auszuführen.

Da viele moderne Linux-Distributionen und Webhosting-Plattformen ProFTPD bündeln, ist die Angriffsfläche erheblich.

Umgehen der Authentifizierung, um einen Backdoor-Benutzer mit vollem Festplattenzugriff einzuspeisen (Quelle: zeropath) Webhosting-Verwaltungspakete verwenden häufig diese Datenbank-gestützte Architektur, um Tausende , ohne einzelne lokale Linux-Konten zu erstellen.

Authentifizierungs-Umgehung: Wenn der Server Befehle vor

Authentifizierungs-Umgehung: Wenn der Server Befehle vor der Authentifizierung protokolliert, können Angreifer SQL-Injection nutzen, um einen Backdoor-Benutzer mit vollen Systemprivilegien in die Datenbank einzufügen.

Remote Code Execution: Wenn ProFTPD eine Verbindung zu einer PostgreSQL-Datenbank mit Superuser-Rechten herstellt, können Angreifer die SQL-Injection zusammen mit der Funktion COPY TO PROGRAM , um beliebigen Code direkt auf dem Host-Server auszuführen.

Data Theft: Angreifer können Techniken der Blind SQL Injection nutzen, um langsam sensible Informationen aus der Datenbank zu extrahieren, einschließlich gespeicherter Klartextpasswörter oder Passwort-Hashes.

Laut ZeroPath Research sollten Sicherheitsteams

Laut ZeroPath Research sollten Sicherheitsteams und Systemadministratoren unverzüglich handeln, um ihre Infrastruktur vor potenzieller Ausbeutung zu schützen. Apply security patches: Aktualisieren Sie alle ProFTPD-Installationen sofort auf Version 1.3.9a oder neuer.

Überwachungssysteme: Sicherheitsteams sollten ihre FTP-Protokoll- und Datenbankaktivitäten aktiv auf verdächtiges Verhalten überwachen, wie unerwartete Benutzererstellung oder ungewöhnliche SQL-Abfragen.

Sie uns auf

Der Beitrag ProFTPD’s SQL Injection Vulnerability Enables Remote Code Execution Attacks erschien zuerst bei Cyber Security News.