Plataforma
nodejs
Componente
ftp-srv
Corrigido em
1.0.1
3.0.1
4.0.1
2.19.6
A vulnerabilidade CVE-2020-15152 é uma falha de Execução Remota de Código (RCE) presente no módulo ftp-srv para Node.js. Devido à forma como o comando PORT é tratado, um atacante pode manipular o servidor FTP para estabelecer conexões em hosts arbitrários. Essa falha afeta versões anteriores a 2.19.6 e pode levar à tomada de controle do sistema. Uma correção foi lançada na versão 2.19.6.
Um atacante pode explorar essa vulnerabilidade enviando um comando PORT malicioso que especifica um endereço IP e porta arbitrários. O servidor ftp-srv, ao tentar se conectar ao endereço especificado, pode ser induzido a executar código malicioso no host alvo. Isso pode resultar em comprometimento completo do sistema, permitindo ao atacante executar comandos, acessar dados confidenciais e potencialmente se mover lateralmente na rede. A capacidade de estabelecer conexões arbitrárias amplia significativamente o escopo do ataque, tornando-o uma ameaça crítica.
A vulnerabilidade foi divulgada em 17 de agosto de 2020. Não há evidências públicas de exploração ativa em larga escala, mas a alta pontuação CVSS (9.1) indica um alto risco. A ausência de um Proof of Concept (PoC) publicamente disponível não diminui a gravidade da vulnerabilidade, pois a exploração é conceitualmente simples. A inclusão em catálogos como o KEV ainda não foi confirmada.
Applications built on Node.js that utilize the ftp-srv module for FTP functionality are at risk. This includes custom-built applications, as well as those relying on older or unmaintained Node.js packages. Shared hosting environments where users have the ability to install or modify Node.js modules are particularly vulnerable.
• nodejs / server:
ps aux | grep ftp-srv
netstat -tulnp | grep :21 # Check for FTP connections• linux / server:
journalctl -u nodejs -f | grep PORT
auditctl -l # Check for audit rules related to FTP connections• generic web:
curl -I http://your-ftp-server/ | grep Server # Check for ftp-srv versiondisclosure
patch
Status do Exploit
EPSS
0.22% (percentil 44%)
Vetor CVSS
A mitigação primária é atualizar o módulo ftp-srv para a versão 2.19.6 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar regras de firewall para restringir as conexões de saída do servidor FTP apenas a hosts confiáveis. Além disso, desabilitar o comando PORT, se não for essencial para a funcionalidade, pode reduzir a superfície de ataque. Monitore logs do servidor FTP em busca de tentativas de conexão suspeitas ou comandos PORT incomuns. Após a atualização, confirme a correção verificando a versão do módulo ftp-srv com npm list ftp-srv.
Atualize o pacote ftp-srv para a versão 2.19.6, 3.1.2 ou 4.3.4 ou superior. Isso corrige a vulnerabilidade de Server-Side Request Forgery (SSRF) no comando PORT. Alternativamente, você pode bloquear o comando PORT através da configuração do servidor FTP.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2020-15152 is a critical Remote Code Execution vulnerability in the Node.js ftp-srv module, allowing attackers to execute arbitrary code on the server by manipulating the PORT command.
You are affected if you are using a version of Node.js ftp-srv prior to 2.19.6. Check your installed version and upgrade immediately.
Upgrade to version 2.19.6 or later of the ftp-srv module. If upgrading is not possible, implement temporary workarounds like restricting outbound connections.
While no confirmed active campaigns are publicly known, the CRITICAL severity and available proof-of-concept exploits suggest a potential for exploitation.
Refer to the Node.js security advisories and the ftp-srv module's repository for detailed information and updates: https://nodejs.org/en/security/ and https://github.com/adrianleon/node-ftp-srv
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.