2010年12月6日
先週、人気が高いオープンソースのFTPサーバであるProFTPDが、意図せずに地雷が埋め込まれているFTPサーバのソースコードを配布していたと発表した。もし11月28日から12月1日の間に、正規な配信サーバからProFTPDをダウンロードしてインストールしたのであれば、システムに「バックドア」を作ってしまった可能性が高い。
皮肉なことに、攻撃者はProFTDのゼロデイ脆弱性を悪用し、この不正なソースコードを正式なProFTD配信サーバに設置した。改造されたProFTPD 1.3.3cのソースコードには、バックドアが含まれており、「秘密のパスワード」を知っているリモート攻撃者は、FTPサーバへルートアクセスを取得することが可能となってしまう。もしこの改造ソースをインストールした場合、攻撃者がバックドアへアクセスするのは非常に簡単なことである。実際、誰かが既にバックドアへアクセスするためのツールをリリースしている。
先週ProFTPD 1.3.3cをインストールしていないのであれば問題はないが、もしインストールしているのであれば、削除して最新バージョンをダウンロードすることを強く推奨する。もっと大事なことに、ProFTPDチームが提供しているPGPおよびMD5シグネチャーを使って、改造されていないソースコードの正規コピーを持っていることを確認したほうがいい。さらに、ファイアウォールまたはACLルールを使ってProFTPDサーバへのアクセスを制限することも勧める。
残念なことに、ProFTPDチームは、攻撃者がバックドアをインストールするために悪用したゼロデイ脆弱性の詳細に関しては公表していない。従って、ProFTPD 1.3.3cはまだこの問題については脆弱だと推定できる。専門家の何人かによると、攻撃者は先月のPhrack誌に掲載され、まだパッチされていないProFTPDの問題を悪用したかもしれないという。問題がPhrackゼロデイかわ不明だが、ProFTPDの最新バージョンは脆弱なので、利用している場合は、気をつけることだ。
Corey Nachreiner, CISSP
Official ProFTPD source code "backdoored" via a zero day flaw
http://www.watchguard.com/RSS/showarticle.aspx?pack=RSS.ProFTPD.0day
