Backdoor na útima versão do vsftpd

Chris Evans, autor do vsftpd (Very Secure FTP Daemon), anunciou que o site principal do vsftpd foi comprometido e que a última versão da ferramenta (vsftpd-2.3.4.tar.gz) foi afetada com a inserção de um backdoor.

Segundo o blog do autor, “o carregamento do backdoor é interessante. Inserindo o símbolo de smile “🙂” no nome de usuário do FTP, é tentado um TCP callback shell”; ou seja, o backdoor fica esperando (escutando) na porta 6200 e carrega um shell quando alguém se conecta com esse login malicioso.

Evans completa: “Mais interessante ainda, não há tentativa de transmitir nenhuma notificação de instalação do pacote malicioso. Então não se sabe como as vítimas poderiam ser identificadas; e praticamente garantindo que nenhum redistribuidor notaria o truque. Portanto, talvez seja só alguém se divertindo ao invés de realmente tentar causar problemas”.

O pacote alterado, com o backdoor, não bate com a assinatura original do vsftpd-2.3.4 no site oficial, demonstrando a importância de se checar assinaturas de download na área de segurança.

Chris Evans também aproveitou o ocorrido para mover os arquivos e site do vsftpd para outro servidor, o Google App Engine.

Via: Backdoor in the latest version of vsftpd