Roberto Pulito

FTP con entrata sul retro

Il codice sorgente dell'ultima versione di VSFTPD conteneva una pericolosa backdoor. Buco tappato, tutti ad aggiornare

Roma - Utilizzando gli strumenti di VSFTPD, acronimo di Very Secure FTP Daemon, è possibile installare e configurare da cima a fondo un server FTP su sistemi operativi basati su Linux. Il software si è sempre distinto per una certa stabilità, ma recentemente si è trovato a fare i conti con gli scherzi degli hacker.

La versione 2.3.4 di VSFTPD è incappata in un problema di sicurezza piuttosto insidioso. Il codice sorgente di un pacchetto ampiamente utilizzato dal programma conteneva infatti una backdoor, famigerata "porta sul retro" che consente ad un utente esterno di prendere il controllo remoto della macchina senza alcuna autorizzazione.

La versione compromessa del file vsftpd-2.3.4.tar.gz, priva di firme digitali valide, è stata inspiegabilmente caricata nell'area download del sito ufficiale ed è rimasta online per circa tre giorni, fino al 3 luglio, prima che scattasse il campanello d'allarme.
Attualmente gli autori di VSFTPD stanno ancora indagando sull'accaduto. Nel frattempo i file scaricabili del daemon distribuito sotto licenza GPL sono stati temporaneamente spostati in un nuovo spazio.

Roberto Pulito
Notizie collegate
  • SicurezzaBucata una lista di sicurezza open sourceUna volta scoperto il cracker ha provveduto a distruggere l'installazione della macchina che la ospitava. Spingendo il moderatore a chiuderla
  • AttualitàLulzSec: può bastareUltimi dati rilasciati e comunicato d'addio del gruppo che dice di aver voluto solo portare il caos per 50 giorni. Non una guerra, insomma, ma una parentesi particolarmente movimenta. Che altri potrebbero trasformare in rivoluzione
26 Commenti alla Notizia FTP con entrata sul retro
Ordina
  • Una volta compilato la backdoor auto magicamente spariva Rotola dal ridere
    ruppolo
    33147
  • Attento ai PDFOcchiolino
    non+autenticato
  • > Una volta compilato la backdoor auto magicamente
    > spariva
    > Rotola dal ridere

    almeno potevi vedere se c'era invece del solo fidarti religiosamente.
    non+autenticato
  • Bisogna sottolineare anche i meriti dell'utente che ha subito segnalato il problema dopo aver verificato una "bad GPG signature" del tarball appena scaricato; è bastato un:

    sha256sum vsftpd-2.3.4.tar.gz

    per notare subito l'anomalia.

    Una cosa che dovrebbero fare tutti gli utenti, soprattutto prima di installare programmi destinati allo scambio di dati in Rete.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Bisogna sottolineare anche i meriti dell'utente
    > che ha subito segnalato il problema dopo aver
    > verificato una "bad GPG signature" del
    > tarball appena scaricato; è bastato
    > un:
    >
    > sha256sum vsftpd-2.3.4.tar.gz
    >
    > per notare subito l'anomalia.
    >
    > Una cosa che dovrebbero fare tutti gli utenti,
    > soprattutto prima di installare programmi
    > destinati allo scambio di dati in
    > Rete.

    Ma scherzi?
    Prima di installare programmi destinati allo scambio dati in rete si fa:
    Avanti
    Avanti
    Avanti
    Installa
    ...
    e poi, quando lanci, se per caso uscisse un popup del tipo

    Attenzione:
    Testo-qualsiasi-che-tanto-non-viene-letto
    Continuare comunque?
    SI NO

    Cliccare velocemente su SI!

    (Non esce la richiesta di password di amministratore perche' l'utente che si usa ha gia' quel privilegio...)

    E se per caso ci fosse un antivirus piuttosto rognoso che nonostante tutto si rifiuta di far proseguire l'utente nel suo intento, si pone la scelta tra il disattivare momentaneamente l'antivirus o disinstallare.

    Indovinare che cosa viene fatto.
  • - Scritto da: panda rossa
    > E se per caso ci fosse un antivirus piuttosto
    > rognoso che nonostante tutto si rifiuta di far
    > proseguire l'utente nel suo intento, si pone la
    > scelta tra il disattivare momentaneamente
    > l'antivirus o
    > disinstallare.
    >
    > Indovinare che cosa viene fatto.

    Tu scherzi? Al figlio di una mia collega un suo amico ha copiato un gioco su u na chiavetta USB. Arrivato a casa si è precipitato ad installarlo, solo che Avast gli ha segnalato che c'era un virus (non so se trojan o altro, chiedere di prendere nota dei messaggi dell'antivirus è veramente troppo, di solito ti chiamano dicendo "c'è un virus"). Sai che ha fatto? Ha telefonato all'amico che glielo aveva dato, il quale lo ha rassicurato: "il mio pc sul quale già l'ho installato va benissimo e quindi l'antivirus si sbaglia, del resto è un antivirus gratuito, se vuoi ti do' NOD craccato..."
    Quando me l'ha portato per reinstallare tutto spiegandomi la cosa non ci volevo credere! Sono convinto che certa gente sarebbe benissimo capace di inchiodare pure una Debian...
    non+autenticato
  • - Scritto da: Fai il login o Registrati
    > - Scritto da: panda rossa
    > > E se per caso ci fosse un antivirus piuttosto
    > > rognoso che nonostante tutto si rifiuta di
    > far
    > > proseguire l'utente nel suo intento, si pone
    > la
    > > scelta tra il disattivare momentaneamente
    > > l'antivirus o
    > > disinstallare.
    > >
    > > Indovinare che cosa viene fatto.
    >
    > Tu scherzi?

    No che non scherzo.
    E' quello che succede, e a quanto pare ci sei passato pure tu.

    > Quando me l'ha portato per reinstallare tutto
    > spiegandomi la cosa non ci volevo credere! Sono
    > convinto che certa gente sarebbe benissimo capace
    > di inchiodare pure una
    > Debian...

    Non ho dubbi. Triste
  • - Scritto da: Fai il login o Registrati
    > Tu scherzi? Al figlio di una mia collega un suo
    > amico ha copiato un gioco su u na chiavetta USB.
    > Arrivato a casa si è precipitato ad
    > installarlo, solo che Avast gli ha segnalato che
    > c'era un virus (non so se trojan o altro,
    > chiedere di prendere nota dei messaggi
    > dell'antivirus è veramente troppo, di solito
    > ti chiamano dicendo "c'è un
    > virus"). Sai che ha fatto? Ha telefonato
    > all'amico che glielo aveva dato, il quale lo ha
    > rassicurato: "il mio pc sul quale già
    > l'ho installato va benissimo e quindi l'antivirus
    > si sbaglia, del resto è un antivirus
    > gratuito, se vuoi ti do' NOD
    > craccato..."
    > Quando me l'ha portato per reinstallare tutto
    > spiegandomi la cosa non ci volevo credere! Sono
    > convinto che certa gente sarebbe benissimo capace
    > di inchiodare pure una
    > Debian...
    Tranquillo NON ci sono giochi da craccare su debianOcchiolino
    non+autenticato
  • - Scritto da: luppolo
    > - Scritto da: Fai il login o Registrati
    > > Tu scherzi? Al figlio di una mia collega un
    > suo
    > > amico ha copiato un gioco su u na chiavetta
    > USB.
    > > Arrivato a casa si è precipitato ad
    > > installarlo, solo che Avast gli ha segnalato
    > che
    > > c'era un virus (non so se trojan o altro,
    > > chiedere di prendere nota dei messaggi
    > > dell'antivirus è veramente troppo,
    > di
    > solito
    > > ti chiamano dicendo "c'è un
    > > virus"). Sai che ha fatto? Ha
    > telefonato
    > > all'amico che glielo aveva dato, il quale lo
    > ha
    > > rassicurato: "il mio pc sul quale
    > già
    > > l'ho installato va benissimo e quindi
    > l'antivirus
    > > si sbaglia, del resto è un antivirus
    > > gratuito, se vuoi ti do' NOD
    > > craccato..."
    > > Quando me l'ha portato per reinstallare tutto
    > > spiegandomi la cosa non ci volevo credere!
    > Sono
    > > convinto che certa gente sarebbe benissimo
    > capace
    > > di inchiodare pure una
    > > Debian...
    > Tranquillo NON ci sono giochi da craccare su
    > debian
    >Occhiolino

    Voglio steam nativo per linux ArrabbiatoArrabbiato
    krane
    22544
  • Dipende comunque. Avast! è (o era) tristemente noto del sparare falsi positivi incredibili. Infatti Mi capitò che mi rilevo com trojan generici, software che non aveva nulla di malevolo, se non essere degli script IRC, ovvero versioni moddate di Mirc.

    Ovvaimente da bravo utente, ho inviato i file "sospetti" in questione dal produttore dell'antivirus è tempo 5 giorni il falso positivo è sparito, per poi ritornare con la versione 5 e 6 di avast -_-

    Un volta vide utorrent come software malevolo, ma la cosa fu risolta in 2 oreA bocca aperta

    Nonostante questa mia esperienza, avast! per me è uno dei migliori.
    Sgabbio
    26177
  • - Scritto da: Fai il login o Registrati
    > - Scritto da: panda rossa
    > > E se per caso ci fosse un antivirus piuttosto
    > > rognoso che nonostante tutto si rifiuta di
    > far
    > > proseguire l'utente nel suo intento, si pone
    > la
    > > scelta tra il disattivare momentaneamente
    > > l'antivirus o
    > > disinstallare.
    > >
    > > Indovinare che cosa viene fatto.
    >
    > Tu scherzi? Al figlio di una mia collega un suo
    > amico ha copiato un gioco su u na chiavetta USB.
    > Arrivato a casa si è precipitato ad
    > installarlo, solo che Avast gli ha segnalato che
    > c'era un virus (non so se trojan o altro,
    > chiedere di prendere nota dei messaggi
    > dell'antivirus è veramente troppo, di solito
    > ti chiamano dicendo "c'è un
    > virus"). Sai che ha fatto? Ha telefonato
    > all'amico che glielo aveva dato, il quale lo ha
    > rassicurato: "il mio pc sul quale già
    > l'ho installato va benissimo e quindi l'antivirus
    > si sbaglia, del resto è un antivirus
    > gratuito, se vuoi ti do' NOD
    > craccato..."
    > Quando me l'ha portato per reinstallare tutto
    > spiegandomi la cosa non ci volevo credere! Sono
    > convinto che certa gente sarebbe benissimo capace
    > di inchiodare pure una
    > Debian...

    Alcuni antivirus (Avira ad esempio) bloccano a priori qualsiasi cosa che abbia un file "autorun.inf" dentro. Magari era la pennina ad essere stata infettata nel passaggio.
    Ubunto
    1350
  • - Scritto da: Alvaro Vitali
    > Bisogna sottolineare anche i meriti dell'utente
    > che ha subito segnalato il problema dopo aver
    > verificato una "bad GPG signature" del
    > tarball appena scaricato; è bastato
    > un:
    > sha256sum vsftpd-2.3.4.tar.gz
    > per notare subito l'anomalia.

    Oppure ha letto quel che gli ha scritto apt-get che, come molti altri installer linux fanno la verifica automaticamente di default.

    > Una cosa che dovrebbero fare tutti gli utenti,
    > soprattutto prima di installare programmi
    > destinati allo scambio di dati in
    > Rete.
    krane
    22544
  • - Scritto da: krane
    >
    > Oppure ha letto quel che gli ha scritto apt-get
    > che, come molti altri installer linux fanno la
    > verifica automaticamente di default.

    Si, questo è ovvio per chi usa distribuzioni con installer avanzati; ieri mi sono arrivati 202 aggiornamenti su OpenSuse e per fortuna le verifiche sulla firma GPG vengono fatte in automatico.

    L'utente in questione però intendeva probabilmente ricompilare da sorgente.
    non+autenticato
  • Qui l'annuncio ufficiale: http://scarybeastsecurity.blogspot.com/2011/07/ale...

    Qui il diff: http://pastebin.com/AetT9sS5

    In ogni caso, non è successo nulla di tragico:
    - la backdoor non era occultata, facilmente era un "gray hat hacker", che ha inserito la backdoor in questione più per vedere se se ne accorgevano che per altri fini;
    - un semplice controllo della firma digitale del pacchetto avrebbe mostrato che era stato modificato; qualunque mantainer per le varie distro linux se ne sarebbe accorto al momento di costruire il pacchetto, dunque sarebbe stata estremamente improbabile una grande diffusione di questa backdoor;
    - i sorgenti bacati sono rimasti sul sito per neanche tre giorni prima che qualcuno se ne accorgesse;
    - il rischio della backdoor in questione non era troppo elevato grazie al design di "defense in depth" di vsftpd (http://vsftpd.beasts.org/DESIGN). La backdoor di fatto può essere attivata solo nel processo che interagisce con gli utenti remoti, che gira sotto un utente senza privilegi e in chroot. La shell che viene "offerta" al cracker può fare danni estremamente limitati.

    Insomma, all in all nulla di particolarmente grave. Quello che si dovrebbe capire, piuttosto, è come ci sia finito lì quel file. Nel dubbio il capo del progetto ha spostato tutti i file da un hoster di cui si fida di più.
  • Riporto dall'articolo:
    "Il codice sorgente di un pacchetto ampiamente utilizzato dal programma conteneva infatti una backdoor..."
    da qui capisco che in realtà la falla sta in un pacchetto usato da VSFTPD (quale?)
    Poi si legge:
    "La versione compromessa del file vsftpd-2.3.4.tar.gz..." e capisco che il baco sta nel sorgente di VSFTPD.
    Ci decidiamo?
    (dall'articolo originale si capisce che il problema stava nei sorgenti di vsftpd, quindi la seconda...)
  • Probabilmente si tratta di una libreria acclusa al sorgente che poi magari viene compilata solo se non ce n'è una nativa...
    non+autenticato
  • È stata inserita in una delle funzioni ausiliarie per lavorare sulle stringhe usate da vsftpd, in particolare in str_contains_space di str.c

    Il diff della backdoor è disponibile qui: http://pastebin.com/AetT9sS5
  • - Scritto da: Matteo Italia
    > È stata inserita in una delle funzioni
    > ausiliarie per lavorare sulle stringhe usate da
    > vsftpd, in particolare in str_contains_space di
    > str.c
    >
    > Il diff della backdoor è disponibile qui:
    > http://pastebin.com/AetT9sS5

    Troppo evidente per essere stato fatto con intento maligno.
    Qui e' solo qualcuno che ha provato a verificare i tempi di intervento.

    Ne ho messe pure io di backdoor simili a quella che aprono una shell in background, ma ho creato un bel codice offuscato con un puntatore a funzione per chiamare la exec, al quale passo un puntatore alla stringa di comando

    c'e' una bella differenza tra scrivere
    execl("/bin/sh");
    e
    p(q);
    magari inserito dentro una espressione piu' complessa del tutto plausibile.
  • - Scritto da: panda rossa
    > Troppo evidente per essere stato fatto con
    > intento
    > maligno.
    > Qui e' solo qualcuno che ha provato a verificare
    > i tempi di
    > intervento.

    O qualcuno che da grande farà l'acherOcchiolino

    > Ne ho messe pure io di backdoor simili a quella
    > che aprono una shell in background, ma ho creato
    > un bel codice offuscato con un puntatore a
    > funzione per chiamare la exec, al quale passo un
    > puntatore alla stringa di
    > comando
    ... quando hanno iniziato a usarla?Imbarazzato
    non+autenticato
  • - Scritto da: luppolo
    > - Scritto da: panda rossa
    > > Troppo evidente per essere stato fatto con
    > > intento
    > > maligno.
    > > Qui e' solo qualcuno che ha provato a
    > verificare
    > > i tempi di
    > > intervento.
    >
    > O qualcuno che da grande farà l'acherOcchiolino
    >
    > > Ne ho messe pure io di backdoor simili a
    > quella
    > > che aprono una shell in background, ma ho
    > creato
    > > un bel codice offuscato con un puntatore a
    > > funzione per chiamare la exec, al quale
    > passo
    > un
    > > puntatore alla stringa di
    > > comando
    > ... quando hanno iniziato a usarla?Imbarazzato

    Mai.
    Era solo una precauzione per poter fare il gioco di prestigio quando qualcuno mi avesse telefonato piangendo "Ci siamo dimenticati la password di root..."
    Altri tempi.
    Ero giovane...
  • - Scritto da: panda rossa
    > Era solo una precauzione per poter fare il gioco
    > di prestigio quando qualcuno mi avesse telefonato
    > piangendo "Ci siamo dimenticati la password
    > di
    > root..."
    > Altri tempi.
    > Ero giovane...
    Poi con l'esperienza hai scoperto che era SEMPRE 12345, e quindi la backdoor non servivaOcchiolino
    non+autenticato
  • > Poi con l'esperienza hai scoperto che era SEMPRE
    > 12345, e quindi la backdoor non serviva
    >Occhiolino

    sfortunatamente di solito era + semplice
    non+autenticato
  • 3 giorni!! Però!!
    Sono corsi presto ai ripari! Complimenti Per l'ottimo lavoro. Se tutti i software venissero patchati così in fretta sarebbe una pacchia!!
    non+autenticato
  • vi ricordo ke la divulgazione di queste cose avviene sempre 2 mesi dopo la scoperta dei bug
    non+autenticato
  • 2 mesi? a quanto ho letto è stato uno dei contributor a dare l'allarme immediatamente
    non+autenticato
  • - Scritto da: Flavio
    > 3 giorni!! Però!!
    > Sono corsi presto ai ripari! Complimenti Per
    > l'ottimo lavoro. Se tutti i software venissero
    > patchati così in fretta sarebbe una
    > pacchia!!

    Non è che l'anno patchato dopo tre giorni. Dopo tre giorni si sono accorti che il software che distribuivano era stato modificato appositamente per inserirvi una backdoor... non è proprio la stessa cosa...
    non+autenticato