CVE-2024-48651: ProFTPD Vulnerability Grants Root Access to Attackers
2024/12/02 SecurityOnline — 人気の FTP サーバである ProFTPD に、重大なセキュリティ脆弱性 CVE-2024-48651 (CVSS:7.5) が存在することが判明した。ProFTPD バージョン 1.3.8b 以下の mod_sql コンポーネントに存在する、この脆弱性により、脆弱なシステムへのルート・アクセスが、攻撃者に許される可能性があるという。
この欠陥は、ユーザーに割り当てられた、追加のグループ・メンバーシップである、補助グループの不適切な処理から生じる。影響を受けるバージョンでは、明示的に割り当てられた補助グループを持たないユーザーであっても、GID 0 (root) の補助グループを継承する。この意図しない継承により、許可されないはずのルート権限がユーザーに付与され、システムの完全な侵害へといたる可能性が生じる。
この脆弱性 CVE-2024-48651 は、Debian のバグ・トラッカーのユーザーにより報告された後に、ProFTPD の GitHub リポジトリで議論が交わされた。すでに ProFTPD の開発者たちは、ソースコードにパッチを適用し、この脆弱性に対応している。したがって、ユーザーに対して推奨されるのは、インストール・イメージの速やかな更新となる。
広範におよぶ影響
より安全なプロトコルの普及に伴い、FTP の利用率が低下しているが、依然として ProFTPD は広く利用されている。Shodan のスキャンによると、世界中で約 80万台の ProFTPD が稼働しており、その大半はドイツ/米国/フランスに集中している。脆弱なインスタンスの正確な数は不明だが、悪用される可能性は高いだろう。
推奨される緩和策
ProFTPD サーバを運用している IT 管理者には、以下のような緩和策が推奨される:
- アップデート:ディストリビューション・プロバイダから提供されるはずの、セキュリティ・パッチを取り込んだ、アップデート・パッケージの有無を確認する。
- 再コンパイル:アップデートされたパッケージが利用できない場合には、ProFTPD Github リポジトリの最新のソースコードから、サーバを再コンパイルする。
- 監視:システムログを注意深く監視し、疑わしい動きの有無を確認する。
なお、SFTP/FTPS のような、より安全な代替手段への移行も、ユーザー組織として検討すべきだろう。
FTP の利用率は低下しているとのことですが、依然として多様な局面で使用されているようです。文中で素敵されているように、より安全な代替手段への移行が検討されているはずですが、なかなか簡単には進まないようです。よろしければ、2023/12/24 の「ProFTPD の脆弱性 CVE-2023-51713/CVE-2023-48795 が FIX」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.