domingo, 3 de julio de 2011

Versión de Vsftp troyanizada disponible desde la fuente oficial

Chris Evans, desarrollador del software, informaba a través de su blog de que la versión de su software vsftp 2.3.4 contenía una puerta trasera que podría permitir tomar el control de la máquina que hubiese instalado la versión troyanizada del servidor.

Vsftp es un popular servidor FTP, con licencia GPL para sistemas UNIX.

El fallo fue notificado por Mathias Kresin, un usuario que fue el primero en advertir del problema y podría llevar activo desde el pasado mes de febrero de 2011, fecha en la que se dió a conocer la versión 2.3.4.

El código añadido al servidor oficial ejecuta una consola en el puerto 6200 al identificar la cadena ":)" en el campo usuario de la conexión FTP. El código, que no se encuentra ofuscado ni cifrado, es fácilmente identificable mediante una herramienta de comparación de ficheros tipo "diff".

Para saber si se tiene la versión troyanizada instalada, el autor ha publicado la firma GPG del software para validar su autenticidad, y también ha movido el software a Google App Engine.

Este caso no viene sino a engordar la lista de software de cierta relevancia troyanizado, el pasado año tuvo cierta relevancia el caso de UnrealIRCd que llevaba troyanizado 8 meses hasta que fue descubierto (http://www.hispasec.com/unaaldia/4250), o el caso de phpMyFAQ (http://www.hispasec.com/unaaldia/4437) a finales de 2010.


Fernando Ramírez
framirez@hispasec.com


Más información:


Diff del código troyanizado:
http://pastebin.com/AetT9sS5

Blog del autor:
http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-download-backdoored.html

Firma GPG de la versión 2.3.4:
https://security.appspot.com/downloads/vsftpd-2.3.4.tar.gz.asc

No hay comentarios:

Publicar un comentario en la entrada