Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties
Submitter: soczol

Onbekende aanvallers zijn erin geslaagd om toegang te krijgen tot de server waarop de broncode van de serverversie van ProFTPD wordt gehost. Volgens het opensourceproject is hierbij een achterdeur in de software geplaatst.

De aanvallers kunnen via de achterdeur complete toegang krijgen tot systemen waarop de aangepaste versie van de ftp-serversoftware is geïnstalleerd. De aanvallers krijgen automatisch bericht van nieuwe vatbare systemen. Het ip-adres dat hiertoe wordt benaderd is ergens in Saoedi-Arabië gelokaliseerd.

De achterdeur, die alleen in ProFTPD-versie 1.3.3c zou zitten, kon worden geplaatst door een 0day-lek in ProFTPD dat door de ontwikkelaars werd gebruikt om de code aan gebruikers ter beschikking te stellen. Volgens de ontwikkelaars is de achterdeur eind november al aan de code toegevoegd, wat vervolgens op 1 december werd ontdekt en ongedaan werd gemaakt.

De kans is groot dat de foutieve code tot en met donderdag via officiële mirrors is verspreid, omdat ook de hoofdserver van het project door de aanvallers is getroffen. Deze server voorziet via rsync diverse mirrors van nieuwe versies van de ftp-software.

De makers van ProFTPD adviseren gebruikers om via de md5-hash of PGP-handtekening te controleren of zij een foute versie hebben gedownload.

Moderatie-faq Wijzig weergave

Reacties (58)

Dit is dus een goed voorbeeld van hoe kwetsbaar Opensource kan zijn, zoiets zou dus ook kunnen plaatsvinden bij bv firefox/MySQL/Linux (de kans natuurlijk dat het ook uiteindelijk in een gedistrubueerde versie komt is daar een heel stuk kleiner)..
Onzin, je kan ook gewoon Microsoft servers hacken en een backdoor in de volgende Windows release of update plaatsen. Is net zo makkelijk / moeilijk als het hacken van een server waar opensource software op staat.

Het grote verschil is dat je bij Opensource zelf kan checken of de versie klopt door de MD5hash uit te rekenen of door zelf in de sources rond te neuzen. Voor zover ik weet bied microsoft die mogelijkheden niet direct.
Een veel belangrijker verschil is dat bij opensource je vooraf de broncode kan inkijken én aanpassen, en dan alleen hoeft te hacken voor het uploaden.
Bij closed-source moet je tweemaal hacken. Eenmaal om de broncode te bemachtigen, en een andere keer om de aangepaste code te uploaden. En dat maakt het wel degelijk veel moeilijker closed-source code op deze manier te manipuleren.
Niet zelf, maar ik acht de kans dat Microsoft (periodiek) de files checkt groter dan dat gebruikers dat doen.

Bij het downloaden van ISO images van Microsoft (Win 7 Beta bijvoorbeeld) stond er overigens keurig een hash-sum bij.
Inderdaad onzin. Als er één operating system kwetsbaar is dan is het Windows wel en niet Linux. Opensource is juist helemaal niet zo kwetsbaar als het lijkt.
Als je ook ziet hoe men dit probleem heeft aangepakt mag je alleen maar blij zijn.
Dit is een professionele aanpak waardoor de eventuele schade zeer beperkt zal zijn.
Gelukkig onderbouw je deze stelling ook zo grondig.

Dus omdat Windows gaten bevat en Linux niet (?) is Open Source beter dan closed source :?

[Reactie gewijzigd door Nijn op 3 december 2010 20:43]

linux niet kwetsbaar? grapjas, hoe naief kun je wel niet zijn..
ProFTPD heeft een lange geschiedenis van onveiligheid en buffer overflows. Veel hosting partijen houden echter vast aan ProFTPD maar als je echt een veilige FTP server wilt moet je vsftpd gebruiken. Daar is nog nooit een lek in ontdekt en deze is gebouwd met veiligheid als basis. Vsftpd is een voorbeeld waarin opensource juist veiliger is dan closed source.
vsftpd is helaas minder dynamisch als proftpd waardoor het erg popular is voor de control panels (Plesk, DirectAdmin en cPanel). Het is inderdaad een stuk sneller en veiliger, maar het mist features die onmisbaar zijn voor shared webhosting.

[Reactie gewijzigd door Woet op 3 december 2010 10:52]

Zoals alles is dat een keuze... vsftpd kan ook met virtuele hosts overweg en in veel gevallen is dat toch zo'n beetje wat nodig is... Ik gebruik zelf ook DirectAdmin op al mijn klanten doosjes met een control panel maar heel veel features worden amper gebruikt... van mij zou het best wat kaler mogen en strakker... hoe meer features er zijn des te meer maken mensen er een puinhoop van...
Als ik het goed begrijp is hun eigen FTP server gehacked, waar de source opstond. Dit heeft niets te maken met al dan niet opensource zijn. Als de backdoor was geplaatst in de publieke source zou dat meteen gezien zijn. Deze backdoor is geplaatst nadat de source uit de versiecontrole is gekopieerd naar hun eigen ftp server voor distributie.

Dat kan bij closed source projecten evengoed gebeuren. Als je de server van een closed source project kraakt kan je daar ook en andere download opzetten dan dat er origineel op stond.
En dat is dan misschien nog wel een groter probleem, want dan wordt er door ontwikkelaars en gebruikers over het algemeen minder goed naar gekeken
Dit is dus een goed voorbeeld van hoe kwetsbaar Opensource kan zijn
Ja, en het closed source Windows is zo robuust dat er maar ruim 1 miljoen virussen en trojans voor bestaan 8)7
euhm over het algemeen is opensource software veel stabieler dan privésoftware...
omdat er een veel grotere groep aan werkt dan in zeg maar Microsoft...
uhhh, niet dus.. ga eens kijken naar een gemiddeld OSS project en je ziet dat er vaak maar een heel klein aantal personen daadwerkelijk er aan werkt.. vaak zelfs maar 2 of 3..
Dit is nieuws dat begint op 10 november 2010 .... (zie http://www.webhostingtalk...rote-lek-plesk-9-ftp.html)

Pikant is dat de hack is gedaan op de software ProFTPD zelf. Dus de lekke software is lek gemaakt.
ProFTPD Compromise Report

On Sunday, the 28th of November 2010 around 20:00 UTC the main
distribution server of the ProFTPD project was compromised. The
attackers most likely used an unpatched security issue in the FTP daemon
to gain access to the server and used their privileges to replace the
source files for ProFTPD 1.3.3c with a version which contained a backdoor.
The unauthorized modification of the source code was noticed by
Daniel Austin and relayed to the ProFTPD project by Jeroen Geilman on
Wednesday, December 1 and fixed shortly afterwards.

The fact that the server acted as the main FTP site for the ProFTPD
project (ftp.proftpd.org) as well as the rsync distribution server
(rsync.proftpd.org) for all ProFTPD mirror servers means that anyone who
downloaded ProFTPD 1.3.3c from one of the official mirrors from 2010-11-28
to 2010-12-02 will most likely be affected by the problem.

The backdoor introduced by the attackers allows unauthenticated users
remote root access to systems which run the maliciously modified version
of the ProFTPD daemon.

Users are strongly advised to check systems running the affected code for
security compromises and compile/run a known good version of the code.
To verify the integrity of the source files, use the GPG signatures
available on the FTP servers as well on the ProFTPD homepage at:

http://www.proftpd.org/md5_pgp.html.

The MD5 sums for the source tarballs are:

8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz

The PGP signatures for the source tarballs are:

proftpd-1.3.3c.tar.bz2:

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkzLAWYACgkQt46JP6URl2qu3QCcDGXD+fRPOd KMp8fHyHI5d12E
83gAoPHBrjTFCz4MKYLhH8qqxmGslR2k
=aLli
-----END PGP SIGNATURE-----

proftpd-1.3.3c.tar.gz:

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkzLAW0ACgkQt46JP6URl2ojfQCfXy/hWE8G5mhdhdLpaPUZsofK
pO8Anj+uP0hQcn1E/CEUddI0mezlSCmg
=e8el
-----END PGP SIGNATURE-----

The PGP key of TJ Saunders has been used to sign the source tarballs;
it is available via MIT's public keyserver.

[Reactie gewijzigd door Stewie! op 3 december 2010 10:13]

Dit is een backdoor die in de source stond (omdat de server waar de source op stond gehacked was) en staat helemaal los van die exploit.
On Sunday, the 28th of November 2010 around 20:00 UTC the main
distribution server of the ProFTPD project was compromised. The
attackers most likely used an unpatched security issue in the FTP daemon
to gain access to the server and used their privileges to replace the
source files for ProFTPD 1.3.3c with a version which contained a backdoor.
The unauthorized modification of the source code was noticed by
Daniel Austin and relayed to the ProFTPD project by Jeroen Geilman on
Wednesday, December 1 and fixed shortly afterwards.

The fact that the server acted as the main FTP site for the ProFTPD
project (ftp.proftpd.org) as well as the rsync distribution server
(rsync.proftpd.org) for all ProFTPD mirror servers means that anyone who
downloaded ProFTPD 1.3.3c from one of the official mirrors from 2010-11-28
to 2010-12-02 will most likely be affected by the problem.

The backdoor introduced by the attackers allows unauthenticated users
remote root access to systems which run the maliciously modified version
of the ProFTPD daemon.
Er zit een 0day-lek in ProFTPD dat nog niet is gedicht. Dit was al eerder bekend. De aangepaste versie van ProFTPD met de achterdeur is echter pas op 28 november op de server gezet. Dit kan dus niet op 10 november al bekend zijn geweest. Het betreft hier twee gescheiden, maar wel aan elkaar gerelateerde, problemen.
Je leest het volgens mij verkeerd. Het gaat er om dat op 28 november de server van ProFTPD gehackt is, en dat daar een backdoor in is geplaatst. Dit is op 1 december ontdekt, en daarom is dit nieuwsbericht geplaatst.
Dit gaat niet om het lek in de software van begin november, maar om een hack op de servers van ProFTPD zelf.
Zie ook de pagina waar het artikel al naar linkt (http://sourceforge.net/ma...%40familiar.castaglia.org):
On Sunday, the 28th of November 2010 around 20:00 UTC the main
distribution server of the ProFTPD project was compromised. The
attackers most likely used an unpatched security issue in the FTP daemon
to gain access to the server and used their privileges to replace the
source files for ProFTPD 1.3.3c with a version which contained a backdoor.
The unauthorized modification of the source code was noticed by
Daniel Austin and relayed to the ProFTPD project by Jeroen Geilman on
Wednesday, December 1 and fixed shortly afterwards.

[Reactie gewijzigd door EDIT op 3 december 2010 10:17]

wat vervolgens op 1 december werd ontdekt en ongedaan werd gemaakt.

De kans is groot dat de foutieve code tot en met donderdag via officiële mirrors is verspreid,
wat vervolgens op 1 december werd ontdekt en ongedaan werd gemaakt.
Op 11 november is het geplaats maar pas 1 december ontdekt en verholpen.
Is het niet zo dat toegevoegde nieuwe code door alle ontwikkelaars wordt gecheckt/gelezen? Of bijvoorbeeld alleen code van nieuwe gebruikers?
Is het niet zo dat toegevoegde nieuwe code door alle ontwikkelaars wordt gecheckt/gelezen? Of bijvoorbeeld alleen code van nieuwe gebruikers?
Natuurlijk, maar als de code is aangepast buiten het reguliere proces, dan hang je. (best kans dat dit niet in de cvs/svn/git tree is gekomen, maar dat alleen een .tar.gz is aangepast)
dan is toch ook de hash aangepast?
Vast wel, alleen weten ze dus nu pas dat er code toegevoegd was!
Natuurlijk niet, als je een groep van zeg 10 developers aan het berk hebt dan doen ze allemaal een deel van het werk en hebben ze allemaal zo hun expertise. Ze zullen heus changes wel bekijken maar als de verdeling goed gemaakt is dan zullen de meeste core developers aan aparte delen van de code werken. Omdat ze niet constant nieuwe versies uit checken zullen ze waarschijnlijk ook niet al te snel merken dat er een wijziging gemaakt is. Immers als ik aan de directory listings werk en de verandering in de socket afhandeling zit dan zal ik zelfs als ik de code uit check niet door hebben dat de verandering niet gemaakt is door een van de andere developers maar door een hacker... Pas als de expert op dit gebied deze code op merkt zal hij/zij merken dat er iets nieuws in zit, en dan natuurlijk niet meteen dat het een gevaarlijke verandering is. Dat duurt nog even omdat de code eerst nog gelezen en begrepen moet worden.

Het is niet de eerste keer dat dit soort dingen gebeuren, het is gewoon een hele goede manier om makkelijk bijvoorbeeld bedrijfs data te stelen, je kunt namelijk de server gewoon vertellen de data even naar jouw server te sturen. Omdat je de volle controle over de server hebt heb je ook veel meer mogelijkheden om bijvoorbeeld niet via FTP toegankelijke data te kopieren of om bijvoorbeeld eens te kijken hoeveel bedrijven lui genoeg zijn om even een key exchange te regelen want ander moet je steeds dat wachtwoord typen en dat is zooooooo veeeeeeeel werk...
Dit is dus een goed voorbeeld van hoe kwetsbaar Opensource kan zijn,

Gelukkig hebben we geen last van 0day exploits in closed source software als b.v. Windows en daarom hoeven zij ook niet regelmatig patches/updates uit te rollen... |:(
Er zit een groot verschil tussen een 0-day exploit en het ongemerkt aanpassen van de officiële broncode van een product. (Al dan niet dmv een 0-day exploit) Dat er andere problemen bestaan verandert deze kwetsbaarheid niet.
Precies, het gebeurt nooit dat er closed source software wordt verspreid waar een backdoor aan is toegevoegd door een derde partij...
Dit kan natuurlijk bij alle server gebeuren waar software op staat, closed en opensource..
Precies, het gebeurt nooit dat er closed source software wordt verspreid waar een backdoor aan is toegevoegd door een derde partij...
Natuurlijk gebeurt dat wel. Men neme een Windows installer en voegt wat malware toe, verspreidt het weer et voila, een nieuwe virus/trojan uitbraak.

Dit is vrijwel onmogelijk bij UNIX en Linux, behalve dan wanneer de server gehackt wordt.
uhh.. wat een BS, ook als je bij linux/unix malware toevoegt aan de 'installer' kun je simpe een virus/trojan toevoegen.. dus je moet geen onzin vertellen..
Bij Linux bevindt alle software zich in repositories en daar kan alleen wat aan veranderd worden als een hacker toegang verkrijgt tot de server waar de software op gehost is, wat dus in het geval van ProFTPD is gebeurd.

Linux en UNIX zitten wat dat aangaat wat beter dichtgetimmerd dan Windows waar de bron van de software lastig te verifieren is.
Mensen uit de Open Source community, steken hun vrije tijd in de software omdat ze het leuk vinden en hun kennis willen delen. Ook om betrouwbaar te zijn, iedereen kan in de code kijken en het gratis gebruiken.

Erg jammer dat deze mensen door zulke 'lolbroeken' keihard worden afgestraft...
Ik geef je 100 procent gelijk.

Maar ik vrees ervoor dat het een misdadiger weinig uitmaakt welke soort programmeur (open of closed-source) hij aanvalt. ProFTPD draait nu eenmaal op een massas servers. Grote kans dat de hacker zelf open source systemen gebruikt, en er erg tevreden van is. (dit is een veronderstelling, over het algemeen gebruikt een cracker die zichzelf serieus neemt toch wel linux, unix, whatever open-source systeem. Niet omdat het beter is, maar bij Windows zijn de protocol stacks nu eenmaal moeilijker aan te passen)

Maar het doel heiligt de middelen zeker?
Vroeger was het dit:
Ken Thompson's 1983 Turing Award lecture to the ACM admitted the existence of a back door in early Unix versions that may have qualified as the most fiendishly clever security hack of all time. In this scheme, the C compiler contained code that would recognize when the login command was being recompiled and insert some code recognizing a password chosen by Thompson, giving him entry to the system whether or not an account had been created for him.

Normally such a back door could be removed by removing it from the source code for the compiler and recompiling the compiler. But to recompile the compiler, you have to use the compiler — so Thompson also arranged that the compiler would recognize when it was compiling a version of itself, and insert into the recompiled compiler the code to insert into the recompiled login the code to allow Thompson entry — and, of course, the code to recognize itself and do the whole thing again the next time around! And having done this once, he was then able to recompile the compiler from the original sources; the hack perpetuated itself invisibly, leaving the back door in place and active but with no trace in the sources.
Was dat beter?
Jemig
dat is best intens, vroeger was echt alles beter..
Je bedoeld vroeger, toen hetzelfde grapje bij OpenSSH is voorgekomen? En als ik het me goed kan herinneren, is het ook een keer voorgekomen bij sendmail en apache.
Of wat denk je van de download servers van Debian (en waarom die nu met GPG-achtige beveiliging werken).

Kan overal voor komen. Dit is ook wel het risico met open source..... iedereen kan contributen maar, zeker als je de kwaliteitscontrole van opensource projecten weet te omzeilen, ook kwaadaardige code er vrij makkelijk in voegen.
Die code is er niet op de "open source manier" ingestoken. Die foute code is eringestoken door een 0day-hack. Dit zou zelfs kunnen voorkomen bij windows-update wanneer een hacker de windows-update-servers hackt en er zijn eigen updates opzet. Of met de virusdefinities van AVG, ...
Niet heel lang geleden is het ook een keer op de open source manier, ofwel via de normale patch-weg, gelukt bij een IRC daemon project. Iemand had een "fix" ingediend die een hele subtiele aanpassing maakte aan een stukje code wat met geheugen indeling had te maken. Daardoor konden ze een buffer-overflow triggeren en de user op de host waarbinnen de server opereerde overnemen.

Geeft maar weer aan hoe belangrijk een goeie maintainer is.
Hoef je bij AVG niet te doen, doet Grisoft zelf wel ;)
LOL ja inderdaad :+
Ik vind dat ze het lek nog redelijk snel gevonden hebben. Wie verwacht er nu dat ze je broncode hadden gekaapt en er een lek werd gecreëerd :P
Kan overal voor komen. Dit is ook wel het risico met open source...
Dit heeft natuurlijk niets met het al-dan-niet open source zijn van proftpd. Er is ingebroken op de servers van het proftpd project, en er is kwaadaardige code in de daarop gehoste proftpd geplaatst.

Het is ook net zo goed mogelijk dat kwaadwillenden inbreken op de servers van een closed source project, en daar kwaadaardige code injecteren. Sterker nog, ik durf te stellen dat dat ook vaak genoeg gebeurd is. Dat wij er niet over horen wil niet zeggen dat het niet gebeurt ;)
Het open-source zijn maakt het uiteraard wel makkelijker, ze moeten nie gaan beginnen reverse-engineeren om het lek erin kunnen instoppen...
Wat natuurlijk leuk is, is dat ook nu in de meuktracker deze versie staat 1.3.3c.
Als er één operating system kwetsbaar is dan is het Windows wel en niet Linux.
Dat vind ik altijd erg makkelijke uitspraken.
Want laten we wel wezen, grootste reden waarom Windows zo kwetsbaar is, is omdat iedereen het gebruikt en er veel meer ook daadwerkelijk veel gebruikte applicaties draaien op Windows die mogelijk benaderbaar zijn vanaf het internet.
Dat maakt Windows een levensgroot doelwit: vergelijk gewoon het aantal online "nodes" windows vs linux en dan het aanbod van beschikbare populaire veelgebruikte netwerk applicaties die je kan misbruiken om exploits voor te schrijven.
Tel daarbij ook op dat veel online nodes die Linux draaien webservers zijn waar over het algemeen bekwame beheerders achter zitten en dat het gros van de online nodes met het label "windows" desktop eindegebruikers zijn. Het gros van de windows SERVERS zijn kantoor automatiserings machines en juist niet benaderbaar vanaf buiten.

Je moet je eerlijkheidshalve afvragen dat als de markt andersom was geweest en Linux de absolute monopolie had die Windows nu heeft, we dan Linux net zo onkwetsbaar vonden.

En alhoewel ik inderdaad denk dat Linux in ontwerp veiliger is dan Windows, denk ik dat je bovenstaande heel serieus mee moet wegen in je oordeel.
Daarbij zijn er enorme sprongen gemaakt m.b.t. beveiliging binnen Windows de laatste 10 jaar die het niet eerlijk maken de claims die je wellicht bij de dos gebaseerde Windows versies en vroege NT versies kon leggen eindeloos te blijven herhalen.
Zonder een Microsoft evangelist te zijn denk ik dat je eerlijk kan stellen dat met Windows 7 je kan spreken over een stabiel en veilig systeem.
euhm over het algemeen is opensource software veel stabieler dan privésoftware...
omdat er een veel grotere groep aan werkt dan in zeg maar Microsoft...
Wat betreft Opensource, denk ik dat het mes aan 2 kanten kan snijden.
Inderdaad kan de mate van controle die opensource ontwikkeling heeft resulteren in uitermate stabiele applicaties en veilige applicaties. enorm veel ontwikkelaars kunnen op de code kauwen.
Andersom is complete toegang tot broncode ook een (vaak overschat) zwaktebod binnen de veiligheid.
Onder de streep zal denk ik open source code per applicatie of oplossing stabieler en veiliger zijn.
Maar...
De crux zit hem imho in het samenwerken van opensource applicaties.
Tegenwoordig werken vele applicaties en modulen samen, en juist binnen open-source ontwikkeling is de organisatie structuur tussen die onderdelen (tussen de ontwikkelaars dus) veel lastiger dan bij proprietary software. Onderdelen op zich kunnen dus heel stabiel zijn, maar in de praktijk werk je met een heel netwerk van onderdelen die door de samenwerking alsnog discrepanties op kunnen leveren.

Het is 1 van de redenen waarom ik niet geloof in decentrale ontwikkeling.
Ook al is een applicaties open-source, een bedrijf wat uiteindelijk voor een groot deel achter die code staat (zoals Red Hat bijvoorbeeld) heeft nog steeds mijn voorkeur.
Daarbij is ontwikkeling vanuit de community natuurlijk altijd mooi meegenomen.

[Reactie gewijzigd door lenny_z op 3 december 2010 11:20]

Ach die discussie windows / linux is ook overbodig... Ben zelf ook een linux fan (voor servers dan) maar in beide gevallen komen er problemen voor... het is maar net hoe je daar als gebruiker mee om gaat wat je kwetsbaar maakt of niet. Onkunde van gebruikers is tot nu toe altijd het grootste gevaar geweest voor welk OS dan ook.
DirectAdmin/custombuild gebruikers zijn hoogstwaarschijnlijk niet geraakt, omdat DirectAdmin de source al eerder van de servers van ProFTPD had gehaald, en zelf de boel mirrored.

Bekijk de thread op http://directadmin.com/forum/showthread.php?p=191998 voor meer informatie en/of hulp. :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True