image

Onderzoek: miljoenen FTP-servers toegankelijk vanaf internet

maandag 7 september 2020, 12:42 door Redactie, 16 reacties

FTP moet eigenlijk niet meer worden gebruikt, maar toch zijn er nog miljoenen FTP-servers toegankelijk vanaf het internet, zo stelt securitybedrijf Rapid7 aan de hand van eigen onderzoek. Voor het onderzoek werd een internetbrede scan uitgevoerd, die bijna 13 miljoen "nodes" opleverde.

Bij 6,6 miljoen van deze nodes kon worden vastgesteld welke FTP-software ze draaiden. Het uit 1971 stammende File Transfer Protocol (FTP) maakt geen gebruik van versleuteling, waardoor inloggegevens en data als platte tekst naar de FTP-server worden verstuurd. "In 2020 is er één aanvaardbaar gebruik van FTP, en dat is het bieden van een anonymous FTP-downloaddienst van min of meer openbare data", zegt Tod Beardsley van Rapid7.

In dit geval worden er geen inloggegevens in plain text verstuurd, maar gaat de data wel onversleuteld naar de server. "Alle andere toepassingen van FTP moeten als onveilig worden beschouwd en worden vermeden", merkt Beardsley op. "Zelfs deze toepassing is op het randje van het onacceptabele, aangezien FTP geen checksumming of foutcontrole van uitgewisselde bestanden biedt, waardoor het eenvoudig is om data via een man-in-the-middle aan te passen."

Toch zijn erop internet nog miljoenen FTP-servers te vinden. Meer dan 3,1 miljoen van deze servers draaien Pure-FTPd, gevolgd door ProFTPD met iets meer dan 1 miljoen. Op de derde plek vonden de onderzoekers Microsoft IIS (823.000), met daarna vsFTPd (661.000). Veel van deze servers bleken een kwetsbare versie van de FTP-software te draaien. In het geval van vsFTPd maken 496.000 servers gebruik van een verouderde en kwetsbare versie.

Van de ProFTPD-servers zijn er bijna 220.000 die versies 1.3.5a/1.3.5.b draaien. Deze versies bevatten een uit 2015 stammende kwetsbaarheid die op een schaal van 1 tot en met 10 wat betreft de impact met een 10 is beoordeeld. Via het beveiligingslek kan een aanvaller willekeurige bestanden lezen en schrijven. Beardsley adviseert IT-afdelingen om het gebruik van FTP te vermijden en SFTP of SCP te gebruiken. Verder wordt cloudproviders aangeraden om het gebruik van FTP door klanten te ontmoedigen.

Image

Reacties (16)
07-09-2020, 13:02 door Anoniem
Dus rapid7 heeft ongevraagd al mijn IPadressen gescand? Hoe durven ze!
07-09-2020, 13:36 door Anoniem
Door Anoniem: Dus rapid7 heeft ongevraagd al mijn IPadressen gescand? Hoe durven ze!
Nou, heel simpel: dat mag gewoon.
07-09-2020, 13:44 door Anoniem
Quote: "...FTP moet eigenlijk niet meer worden gebruikt...."

Eigenlijk? streep dat woord maar door!
07-09-2020, 13:45 door Power2All - Bijgewerkt: 07-09-2020, 13:45
Wat een onzin.
Zolang je server SSL forceerd, is het veilig.
Probleem wat hun aankaarten, is dat de onveilige FTP servers (dus niet FTPS of SFTP) overal nog openlijk gebruikt wordt.
Als dat gefixed wordt, heb je grotendeels alles al aangepakt.
07-09-2020, 14:02 door Anoniem
Door Power2All: Wat een onzin.
Zolang je server SSL forceerd, is het veilig.
Probleem wat hun aankaarten, is dat de onveilige FTP servers (dus niet FTPS of SFTP) overal nog openlijk gebruikt wordt.
Als dat gefixed wordt, heb je grotendeels alles al aangepakt.
Het gaat hier over FTP. FTP over SSL heet FTPS. Daar gaat het dus niet over.
07-09-2020, 14:26 door spatieman
en wat moet je anders draaien als je effe wat files wilt delen ??
dik account kopen bij dropbox of google drive ??
en ja, een beetje FTP server instellen is gewoon shit, hehe
07-09-2020, 14:37 door Anon13m
Al eens eerder in het nieuws geweest:

https://www.hartvannederland.nl/nieuws/2020/thuiswerken-corona-feest-hackers/
07-09-2020, 14:44 door Anoniem
Gaat Rapid7 nu voor elke open poort een nieuwsbericht de wereld in slingeren? Zaken gaan zeker slecht ondanks (door?) Corona.
07-09-2020, 16:04 door Anoniem
Door Anoniem:
Door Power2All: Wat een onzin.
Zolang je server SSL forceerd, is het veilig.
Probleem wat hun aankaarten, is dat de onveilige FTP servers (dus niet FTPS of SFTP) overal nog openlijk gebruikt wordt.
Als dat gefixed wordt, heb je grotendeels alles al aangepakt.
Het gaat hier over FTP. FTP over SSL heet FTPS. Daar gaat het dus niet over.

Echter bij FTPS gaat alleen het aanmelden en commando verkeer over SSL het data kanaal gaat niet over SSL.
En daarom adviseren ze SFTP omdat ssl daarnaast ook vele valkuilen heeft mbt configuratie icm FTP die met SSH nagenoeg niet fout kunnen gaan.

Een FTPS server reageerd op FTP scan's en valt vermoed ik ook gewoon onder deze cijfers.
Als je denkt met FTPS veilig te zijn: dan zit je fout
07-09-2020, 16:41 door [Account Verwijderd] - Bijgewerkt: 07-09-2020, 16:46
Door Anoniem:
Door Anoniem:
Door Power2All: Wat een onzin.
Zolang je server SSL forceerd, is het veilig.
Probleem wat hun aankaarten, is dat de onveilige FTP servers (dus niet FTPS of SFTP) overal nog openlijk gebruikt wordt.
Als dat gefixed wordt, heb je grotendeels alles al aangepakt.
Het gaat hier over FTP. FTP over SSL heet FTPS. Daar gaat het dus niet over.

Echter bij FTPS gaat alleen het aanmelden en commando verkeer over SSL het data kanaal gaat niet over SSL.
En daarom adviseren ze SFTP omdat ssl daarnaast ook vele valkuilen heeft mbt configuratie icm FTP die met SSH nagenoeg niet fout kunnen gaan.

Een FTPS server reageerd op FTP scan's en valt vermoed ik ook gewoon onder deze cijfers.
Als je denkt met FTPS veilig te zijn: dan zit je fout

/edit:(over vinden op poort21)
Bij explicit FTPS, yep.
Bij implicit, nope.

/edit
overigens kun je voor de meeste ftp servers gewoon configureren dat de datastream ook encrypted is
07-09-2020, 16:52 door Anoniem
Ik ben bekend met de eigenaardigheden van ftp, en toch begrijp ik niet waarom FTP nou elke keer de zondebok is. We krijgen toch ook niet periodiek "nieuws" te zien over hoeveel HTTP-only sites er nog zijn? Of hoeveel SMTP servers nog geen TLS doen?
07-09-2020, 20:47 door Anoniem
Er is gewoon public data, dat mag gewoon over FTP. Het downloaden van een linuxvariant of een BSD variant van ftp.nluug.nl bijvoorbeeld. Niets geheims aan.
07-09-2020, 23:40 door Anoniem
Ja daar hebben we shodan.io voor en er zijn nog meer bronnen.
Heel veel op Internet is security through obscurity.
Helaas voor degenen die daar nog heilig in geloven.
De wetende hackt de onwetende.

J.O.
08-09-2020, 09:48 door [Account Verwijderd] - Bijgewerkt: 08-09-2020, 09:52
Veel van deze servers bleken een kwetsbare versie van de FTP-software te draaien. In het geval van vsFTPd maken 496.000 servers gebruik van een verouderde en kwetsbare versie.

Van de ProFTPD-servers zijn er bijna 220.000 die versies 1.3.5a/1.3.5.b draaien.

Dit bedrijf is recent betrapt op het trekken van onjuiste conclusies uit versienummers [1] en nu doen ze het weer! Je kan uit een versienummer geen conclusie trekken want bij Linux distributies worden beveiligingsproblemen in oudere versies - die onderdeel zijn van de Linux distributie - opgelost en wordt een subversienummer toegevoegd aan het Linux package. Het versienummer dat via internet opvraagbaar zal dat niet weergeven, waardoor je zou kunnen denken - als je een heel domme onderzoeker van een dom bedrijf bent - dat je met kwetsbare software te maken hebt. Terwijl dat niet het geval is. [correct me if I'm wrong about this]

[1] https://www.security.nl/posting/669191#posting669327
08-09-2020, 10:51 door Anoniem
Http wordt ook nog steeds gebruikt. Zolang je geen gegevens invult en retour stuurt, zie ik geen probleem. Bij Ftp geld naar mijn mening hetzelfde.
14-09-2020, 02:39 door Anoniem
Hmmm.. er zijn ca. 1,74 miljard websites en die hebben vrijwel allemaal een FTP toegang. Natuurlijk kunnen op 1 server tientallen tot honderden websites draaien, met elk een eigen FTP-account, maar elke toegang is een aparte verbindingsmogelijkheid met de data. In principe is het mogelijk met 1 enkele server miljoenen FTP accounts beschikbaar te stellen. Het aantal servers geeft dus geen kompleet beeld, het aantal accounts wel. En dit zijn er wel een paar miljard denk ik. Knappe hacker die in deze hooiberg iets van zijn gading vindt. Kan je beter met een metaaldetector op pad of met een sterke neodymium gaan vissen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.