blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
info service-ftp-cve

Schwachstellen in FTP-Servern (vsftpd, ProFTPD, Pure-FTPd)

FTP ist ein altes Protokoll mit alten Problemen: Klartext-Credentials, in Legacy-Installationen aktivierter anonymer Zugriff und eine lange CVE-Historie. Die bessere Frage lautet, ob FTP überhaupt nötig ist.

Warum FTP-Befunde einen harten Blick verdienen

FTP ist älter als das Konzept “secure by default”. Das Basisprotokoll schickt Credentials und Dateiinhalte im Klartext, und die Daemons haben eine lange CVE-Historie: vsftpds “Smiley-Face”-Backdoor (CVE-2011-2523), ProFTPDs mod_copy-Code-Execution (CVE-2019-12815) und viele Memory-Bugs in älteren Versionen aller großen Implementierungen.

Findet der Scanner einen FTP-Server, ist es meist eine von drei Situationen:

  1. Legacy-Dateitausch zwischen Geschäftspartnern. Banken, EDI-Austausch, Buchhaltungs-Anbindungen, die seit den 90ern auf FTP laufen. Migration ist hier politisch, nicht technisch.
  2. Hosting-Kundenpanel. Shared-Hosting-Kund:innen, die einen FTP-Client zum Hochladen von Webseiten nutzen. Oft FTPS oder SFTP statt purem FTP, aber der Daemon bleibt aus der Familie.
  3. Versehen. Eine Entwicklungsumgebung, die nie ins Netz hätte gehen sollen, ein Überbleibsel aus längst aufgegebenem Use-Case, ein per Default aktiver Dienst auf NAS oder Drucker.

Fall 2 und 3 sind in unseren Scans am häufigsten. Lösung: meist “FTP nicht mehr betreiben”, nicht “FTP patchen”.

Was strukturell falsch am Klartext-FTP ist

Drei Probleme, die kein Patch behebt:

  • Klartext für Anmeldedaten und Inhalte. Jeder Login, jede Übertragung läuft im Klartext durchs Netz. Jeder auf der Strecke kann mitlesen.
  • Active-Mode ist firewall-feindlich. FTPs Data-Channel-Design ist älter als NAT; durch moderne Firewalls geht es nur mit weitem Port-Bereich oder stateful FTP-aware NAT-Helpern, die wiederum eine CVE-Historie haben.
  • Anonymer Zugriff ist in manchen Installationen Default. Ein KMU, das ein NAS mit aktiviertem Anonymous-FTP übernommen hat, veröffentlicht damit faktisch “jede Datei in /home/ftp” im Internet.

Das kombinierte Risiko ist unabhängig von einer konkreten CVE.

Migration weg von FTP

Standard-Ersatz ist SFTP (SSH File Transfer Protocol). Eine TCP-Verbindung, läuft über OpenSSH, per Default verschlüsselt, firewall-freundlich, Public-Key-Auth möglich. Jeder moderne FTP-Client (WinSCP, FileZilla, Cyberduck, Transmit) spricht SFTP nativ.

Für Sonderfälle:

  • FTP/S (FTP über TLS). Verschlüsselt das Protokoll, behält die Zwei-Kanal-Architektur. Sinnvoll, wenn ein Partner unbedingt FTP-Semantik braucht.
  • HTTPS-Datei-Upload. Für browserbasierte Uploads FTP komplett fallenlassen und einen kleinen Upload-Endpoint hinter der üblichen Authentifizierung anbieten.
  • Objekt-Speicher (S3, Backblaze B2, Wasabi). Für Partner-Datentausch eine pre-signed URL oder ein IAM-Credential ausgeben. Keine FTP-Infrastruktur zu pflegen.

Für Partner, die nicht migrieren, FTP/S mit kleinster Exposition betreiben: einzelne Quell-IP-Allowlist, dedizierter Account je Partner, Dateistruktur auf das eigene Verzeichnis beschränkt.

Wenn Patchen die einzige Option ist

Ist Migration vorerst nicht möglich, gilt dieselbe Reihenfolge wie für andere Dienste:

  1. Aus dem öffentlichen Netz nehmen. An ein privates Interface binden oder Quell-IPs einschränken. Die meisten FTP-CVEs sind Pre-Auth-Bugs, die Erreichbarkeit voraussetzen.
  2. In derselben Woche patchen. vsftpd, ProFTPD und Pure-FTPd liefern Sicherheits-Releases zügig; Ubuntu/Debian-Pakete ziehen im regulären Security-Stream nach.
  3. Anonymen Zugriff abschalten: anonymous_enable=NO in vsftpd, <Anonymous>-Blöcke aus der ProFTPD-Config entfernen, Pure-FTPd mit Flag -E starten.
  4. chroot-Direktiven nutzen (chroot_local_user=YES), um Nutzer auf ihr Heimverzeichnis einzusperren. In älteren Versionen kein 100-%-Containment, schneidet aber viel Fläche.

Wie blueredix FTP-Befunde meldet

Der Scanner erkennt vsftpd, ProFTPD, Pure-FTPd und vergleichbare aus ihren Bannern und führt denselben Datenbank-Lookup samt Filterung wie bei anderen Diensten durch.

Pro FTP-Server-Befund zeigt der Bericht:

  • Erkannte Version.
  • Ob anonymer Zugriff erkennbar aktiv ist (wir versuchen einen anonymen Banner-Grab).
  • Anwendbare CVEs nach dem Filter gegen Falschpositive.

Die übergeordnete Frage “ist FTP überhaupt exponiert?” wiegt meist schwerer als die konkreten CVEs. Wenn Sie überrascht sind, einen FTP-Server in Ihrem Scan zu sehen, prüfen Sie zuerst, ob Sie ihn wirklich betreiben wollen, und wenn nicht, nehmen Sie ihn aus dem öffentlichen Netz.

Mehr dazu