KW36: CSOC-Event der Woche – Backdoor in FTP-Dienst

Durchschnittliche CSOC-Gesamtevents pro Tag:     29.595
Detektionshäufigkeit CVE-2011-2523:      4

Eventbeschreibung CVE-2011-2523 / Kritikalität = hoch (10 / 10)

In dieser Woche berichten wir über ein Event, welches besonders in IT-Umgebungen mit nicht gepatchten Diensten beachtet werden sollte. In unserem Fall handelt es sich um eine Backdoor im FTP-Dienst VSFTPD 2.3.4.

Eine sogenannte Backdoor (auch Hintertür) bezeichnet einen Teil einer Software oder eine vom Entwickler eingebaute Funktion, die es ohne das Wissen des Anwenders ermöglicht, an der normalen Zugriffssicherung eines IT-Systems vorbei auf eben jenes zuzugreifen. Die aktuelle Version des Dienstes VSFTPD ist 3.0.3. Bei der aktuellen Version sind bislang keine Schwachstellen oder Anfälligkeiten für Exploits bekannt.

Technische Darstellung: CVE-2011-2523

In July 2011, it was discovered that vsftpd version 2.3.4 downloadable from the master site had been compromised.  Users logging into a compromised vsftpd-2.3.4 server may issue a „:)“ smileyface as the username and gain a command shell on port 6200.  This was not an issue of a security hole in vsftpd, instead, someone had uploaded a different version of vsftpd which contained a backdoor. Since then, the site was moved to Google App Engine.