预警 | ProFTPD远程命令执行漏洞风险预警（CVE-2019-12815）

近日，腾讯云安全运营中心监测到知名FTP服务软件 ProFTPD 被曝存在远程命令执行漏洞（漏洞编号：CVE-2019-12815），攻击者可利用该漏洞在没有权限的情况下拷贝FTP服务器上的任何文件。目前，互联网上数百万安装了 ProFTPD 的服务器可能存在该漏洞风险。

为避免您的业务受影响，云鼎实验室建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。同时建议云上租户免费开通「安全运营中心」-安全情报，及时获取最新漏洞情报、修复方案及数据泄露情况，感知云上资产风险态势。

【风险等级】

高风险

【漏洞影响】

未授权的拷贝 FTP 服务器任意文件

【漏洞详情】

ProFTPD 是一个开源和跨平台的 FTP 服务器，在全球有大量用户使用，是最受欢迎的 FTP 服务器之一，其支持类 UNIX 和 Windows 操作系统平台。

近日，ProFTPD 官方修复了一个任意文件拷贝漏洞（CVE-2019-12815），该漏洞由于 mod_copy 模块中的自定义 SITE CPFR 和 SITE CPTO 这两个操作命令不符合预期读写配置所致，攻击者利用成功可在没有权限的情况下拷贝 FTP 服务器上的任意文件。

【影响版本】

ProFTPD <= 1.3.6

【安全版本】

ProFTPD 1.3.6以上

【修复建议】

❶ 官方暂未发布修复版本 ProFTPD ，建议受影响的用户关注官方链接修复。

下载地址：https://github.com/ProFTPd/ProFTPd/releases

❷ 如不方便进行升级，可将 mod_copy 模块禁用来进行临时防护，详细操作如下：

1）找到配置文件并编辑，注释掉受影响的行：

➢Ubuntu默认配置文件目录：/etc/proftpd/modules.conf

➢CentOS默认配置文件目录：/etc/proftpd.conf

# LoadModule mod_copy.c     注释掉 mod_copy 所在行，若已注释，则不受影响

2）重启 FTP 服务并生效：service proftpd restart   

【漏洞参考】

[1]官方通告：http://bugs.proftpd.org/show_bug.cgi?id=4372

[2]社区参考：https://www.bleepingcomputer.com/news/security/proftpd-remote-code-execution-bug-exposes-over-1-million-servers/

关于云鼎实验室

腾讯安全云鼎实验室一直专注于云领域前沿安全技术研究与创新，以及云标准化与合规体系建设等工作。通过机器学习与大数据技术实时监测并分析各类风险信息，同时，云鼎实验室帮助客户抵御高级可持续攻击，并联合腾讯安全其他实验室进行安全漏洞的研究，确保云计算平台整体的安全性，且相关能力通过腾讯云开放出来。云鼎实验室在云安全领域的研究与实战积累，使得腾讯云能够为企业和创业者提供集云计算、云数据、云运营于一体的云端服务体验，同时也是最可信的安全防护平台之一。