Onderzoek: miljoenen FTP-servers toegankelijk vanaf internet
FTP moet eigenlijk niet meer worden gebruikt, maar toch zijn er nog miljoenen FTP-servers toegankelijk vanaf het internet, zo stelt securitybedrijf Rapid7 aan de hand van eigen onderzoek. Voor het onderzoek werd een internetbrede scan uitgevoerd, die bijna 13 miljoen "nodes" opleverde.
Bij 6,6 miljoen van deze nodes kon worden vastgesteld welke FTP-software ze draaiden. Het uit 1971 stammende File Transfer Protocol (FTP) maakt geen gebruik van versleuteling, waardoor inloggegevens en data als platte tekst naar de FTP-server worden verstuurd. "In 2020 is er één aanvaardbaar gebruik van FTP, en dat is het bieden van een anonymous FTP-downloaddienst van min of meer openbare data", zegt Tod Beardsley van Rapid7.
In dit geval worden er geen inloggegevens in plain text verstuurd, maar gaat de data wel onversleuteld naar de server. "Alle andere toepassingen van FTP moeten als onveilig worden beschouwd en worden vermeden", merkt Beardsley op. "Zelfs deze toepassing is op het randje van het onacceptabele, aangezien FTP geen checksumming of foutcontrole van uitgewisselde bestanden biedt, waardoor het eenvoudig is om data via een man-in-the-middle aan te passen."
Toch zijn erop internet nog miljoenen FTP-servers te vinden. Meer dan 3,1 miljoen van deze servers draaien Pure-FTPd, gevolgd door ProFTPD met iets meer dan 1 miljoen. Op de derde plek vonden de onderzoekers Microsoft IIS (823.000), met daarna vsFTPd (661.000). Veel van deze servers bleken een kwetsbare versie van de FTP-software te draaien. In het geval van vsFTPd maken 496.000 servers gebruik van een verouderde en kwetsbare versie.
Van de ProFTPD-servers zijn er bijna 220.000 die versies 1.3.5a/1.3.5.b draaien. Deze versies bevatten een uit 2015 stammende kwetsbaarheid die op een schaal van 1 tot en met 10 wat betreft de impact met een 10 is beoordeeld. Via het beveiligingslek kan een aanvaller willekeurige bestanden lezen en schrijven. Beardsley adviseert IT-afdelingen om het gebruik van FTP te vermijden en SFTP of SCP te gebruiken. Verder wordt cloudproviders aangeraden om het gebruik van FTP door klanten te ontmoedigen.
Eigenlijk? streep dat woord maar door!
Zolang je server SSL forceerd, is het veilig.
Probleem wat hun aankaarten, is dat de onveilige FTP servers (dus niet FTPS of SFTP) overal nog openlijk gebruikt wordt.
Als dat gefixed wordt, heb je grotendeels alles al aangepakt.
Zolang je server SSL forceerd, is het veilig.
Probleem wat hun aankaarten, is dat de onveilige FTP servers (dus niet FTPS of SFTP) overal nog openlijk gebruikt wordt.
Als dat gefixed wordt, heb je grotendeels alles al aangepakt.
dik account kopen bij dropbox of google drive ??
en ja, een beetje FTP server instellen is gewoon shit, hehe
https://www.hartvannederland.nl/nieuws/2020/thuiswerken-corona-feest-hackers/
Zolang je server SSL forceerd, is het veilig.
Probleem wat hun aankaarten, is dat de onveilige FTP servers (dus niet FTPS of SFTP) overal nog openlijk gebruikt wordt.
Als dat gefixed wordt, heb je grotendeels alles al aangepakt.
Echter bij FTPS gaat alleen het aanmelden en commando verkeer over SSL het data kanaal gaat niet over SSL.
En daarom adviseren ze SFTP omdat ssl daarnaast ook vele valkuilen heeft mbt configuratie icm FTP die met SSH nagenoeg niet fout kunnen gaan.
Een FTPS server reageerd op FTP scan's en valt vermoed ik ook gewoon onder deze cijfers.
Als je denkt met FTPS veilig te zijn: dan zit je fout
Zolang je server SSL forceerd, is het veilig.
Probleem wat hun aankaarten, is dat de onveilige FTP servers (dus niet FTPS of SFTP) overal nog openlijk gebruikt wordt.
Als dat gefixed wordt, heb je grotendeels alles al aangepakt.
Echter bij FTPS gaat alleen het aanmelden en commando verkeer over SSL het data kanaal gaat niet over SSL.
En daarom adviseren ze SFTP omdat ssl daarnaast ook vele valkuilen heeft mbt configuratie icm FTP die met SSH nagenoeg niet fout kunnen gaan.
Een FTPS server reageerd op FTP scan's en valt vermoed ik ook gewoon onder deze cijfers.
Als je denkt met FTPS veilig te zijn: dan zit je fout
/edit:(over vinden op poort21)
Bij explicit FTPS, yep.
Bij implicit, nope.
/edit
overigens kun je voor de meeste ftp servers gewoon configureren dat de datastream ook encrypted is
Heel veel op Internet is security through obscurity.
Helaas voor degenen die daar nog heilig in geloven.
De wetende hackt de onwetende.
J.O.
Van de ProFTPD-servers zijn er bijna 220.000 die versies 1.3.5a/1.3.5.b draaien.
Dit bedrijf is recent betrapt op het trekken van onjuiste conclusies uit versienummers [1] en nu doen ze het weer! Je kan uit een versienummer geen conclusie trekken want bij Linux distributies worden beveiligingsproblemen in oudere versies - die onderdeel zijn van de Linux distributie - opgelost en wordt een subversienummer toegevoegd aan het Linux package. Het versienummer dat via internet opvraagbaar zal dat niet weergeven, waardoor je zou kunnen denken - als je een heel domme onderzoeker van een dom bedrijf bent - dat je met kwetsbare software te maken hebt. Terwijl dat niet het geval is. [correct me if I'm wrong about this]
[1] https://www.security.nl/posting/669191#posting669327
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
