Hace unos meses les comentaba en este mismo espacio sobre un troyano para Linux que estuvo activo por más de seis meses. Se trataba de un troyano con funcionalidades de backdoor. que había sido alojado en los servidores del software open-source Unreal IRC Server, y que estuvo en los repositorios oficiales durante varios meses.
Esta semana otra aplicación fue afectada con las mismas características. Se trata del software libre ProFTPD, un software para el servicio FTP, que también sufrió el compromiso de uno de sus servidores, y en un comunicado oficial informaron sobre el incidente:
El sábado 28 de noviembre, el servidor principal del proyecto ProFTPD fue comprometido. Los atacantes usaron una versión no actualizada del motor FTP para ganar acceso al servidor, y con los privilegios del usuario reemplazó el código fuente de ProFTPD 1.3.3c con una versión que contenía un backdoor. El acceso no autorizado fue detectado y reportado [...] el 1 de diciembre y corregido de inmediato.
El hecho [...] significa que cualquiera que haya descargado ProFTPD 1.3.3c de los respositorios oficiales entre las fechas indicadas estará probablemente afectado por el problema.
El backdoor permitía a los atacantes habilitar a usuarios no autenticados acceder remotamente a los servidores que tengan la versión modificada del motor de ProFTPD.
Resulta por demás curioso que para un servidor que ofrece un servicio de FTP, el atacante ingresó a partir de ¡una vulnerabilidad en el software de FTP! En casa de herrero...
Por otro lado, resulta de especial importancia que aquellos usuarios que estén utilizando esta versión afectada, están afectado seriamente la confidencialidad de la información alojada en el FTP, ya que podrá ser accedida por personas no autorizadas. Recomendamos a la brevedad instalar la versión corregida del software, para no estar más expuestos al incidente.
Una vez más, queda demostrado que los atacantes van encontrando en otras plataformas distintas a Microsoft Windows la posibilidad de infectar con malware, y en este caso puntual en aplicaciones para servidores, afectando la criticidad de la información que está en juego.
Así como es importante destacar la gravedad que representa que un servidor de un repositorio oficial tenga una vulnerabilidad como la de este tipo, también vale destacar la velocidad con la que el incidente fue identificado y remediado. Recomendamos a todos aquellos que tengan servidores web, verificar las principales vías de acceso para vulnerar un sitio web, así como también chequear qué hacer si un sitio web está infectado.
Sebastián Bortnik
Coordinador de Awareness & Research
