Hintertür im Quellcode des FTP-Servers vsftpd

Im Quellcode des verbreiteten FTP-Servers vsftpd wurde eine nachträglich eingebaute Hintertürfunktion entdeckt. Der Entwickler vermutet einen Einbruch beim Hoster und zieht um.

In Pocket speichern vorlesen Druckansicht 78 Kommentare lesen
Lesezeit: 1 Min.

Mathias Kresin entdeckte im Quellcode des verbreiteten FTP-Servers vsftpd eine Hintertürfunktion. Betroffen war die Version vsftpd-2.3.4.tar.gz auf dem Master-Server des Projekts. Die digitale Signatur des Entwicklers Chris Evans, die man mit

gpg ./vsftpd-2.3.4.tar.gz.asc

überprüfen kann, war jedoch durch die nachträgliche Manipulation des Archivs ungültig geworden. Wer also vor dem Entpacken die Signatur überprüft hat, hätte zwangsläufig bemerkt, dass etwas nicht in Ordnung ist. Chris Evans macht einen Einbruch bei seinem Hosting-Provider verantwortlich und hat als Konsequenz das ganze Projekt zur Google App Engine umgezogen.

Die Backdoor selbst ist etwas merkwürdig. Nach der Eingabe der Zeichen :) als Benutzernamen lauscht sie auf Port 6200 und offeriert dort jedem, der sich verbindet, ohne weiteres Aufhebens eine Shell auf dem Server. Allerdings gibt es keine Benachrichtigungsfunktion, die dem Angreifer mitteilen würde, wo er einen derartig präparierten Server finden würde. Evans vermutet deshalb, dass es sich bei dem Einbruch vielleicht doch eher um einen schlechten Scherz handeln könnte. (ju)