blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
info service-ftp-cve

FTP-Server-Schwachstellen

FTP überträgt Zugangsdaten im Klartext und hat eine lange CVE-Historie. Die bessere Frage ist, ob FTP überhaupt nötig ist und wie Sie sauber zu SFTP oder HTTPS migrieren.

Warum FTP-Befunde einen harten Blick verdienen

FTP ist älter als das Konzept “secure by default”. Das Basisprotokoll schickt Credentials und Dateiinhalte im Klartext. Die Daemons haben darüber hinaus eine lange CVE-Historie: vsftpds “Smiley-Face”-Backdoor (CVE-2011-2523), ProFTPDs mod_copy-Code-Execution (CVE-2019-12815) und viele Memory-Bugs in älteren Versionen aller großen Implementierungen.

Findet der Scanner einen FTP-Server, ist es meist eine von drei Situationen:

  1. Legacy-Dateitausch zwischen Geschäftspartnern. Banken, EDI-Austausch, Buchhaltungs-Anbindungen, die seit den 90ern auf FTP laufen. Migration ist hier politisch, nicht technisch.
  2. Hosting-Kundenpanel. Shared-Hosting-Kund:innen, die einen FTP-Client zum Hochladen von Webseiten nutzen. Oft kommen FTPS oder SFTP statt purem FTP zum Einsatz, gehören aber zur selben Protokollfamilie und teilen sich denselben Daemon-Stack.
  3. Versehen. Eine Entwicklungsumgebung, die nie ins Netz hätte gehen sollen, ein Überbleibsel aus einem längst aufgegebenen Anwendungsfall, ein per Default aktiver Dienst auf NAS oder Drucker.

Fall 2 und 3 sind in unseren Scans am häufigsten. Lösung: meist “FTP nicht mehr betreiben”, nicht “FTP patchen”.

Was strukturell falsch am Klartext-FTP ist

Drei Probleme, die kein Patch behebt:

  • Klartext für Anmeldedaten und Inhalte. Jeder Login, jede Übertragung läuft im Klartext durchs Netz. Jeder auf der Strecke kann mitlesen.
  • Active-Mode ist firewall-feindlich. FTPs Data-Channel-Design ist älter als NAT; durch moderne Firewalls geht es nur mit weitem Port-Bereich oder stateful FTP-aware NAT-Helpern, die wiederum eine CVE-Historie haben.
  • Anonymer Zugriff ist in manchen Installationen Default. Ein KMU, das ein NAS mit aktiviertem Anonymous-FTP übernommen hat, veröffentlicht damit faktisch “jede Datei in /home/ftp” im Internet.

Das kombinierte Risiko ist unabhängig von einer konkreten CVE.

Migration weg von FTP

Standard-Ersatz ist SFTP (SSH File Transfer Protocol). Eine TCP-Verbindung, läuft über OpenSSH, per Default verschlüsselt, firewall-freundlich, Public-Key-Auth möglich. Jeder moderne FTP-Client (WinSCP, FileZilla, Cyberduck, Transmit) spricht SFTP nativ.

Für Sonderfälle:

  • FTP/S (FTP über TLS). Verschlüsselt das Protokoll, behält die Zwei-Kanal-Architektur. Sinnvoll, wenn ein Partner unbedingt FTP-Semantik braucht.
  • HTTPS-Datei-Upload. Für browserbasierte Uploads FTP komplett fallenlassen und einen kleinen Upload-Endpoint hinter der üblichen Authentifizierung anbieten.
  • Objekt-Speicher (S3, Backblaze B2, Wasabi). Für Partner-Datentausch eine pre-signed URL oder ein IAM-Credential ausgeben. Damit entfällt jede FTP-Infrastruktur.

Für Partner, die nicht migrieren, FTP/S mit minimaler Exposition betreiben: einzelne Quell-IP-Allowlist, dedizierter Account je Partner, Dateistruktur auf das eigene Verzeichnis beschränkt.

Wenn Patchen die einzige Option ist

Ist Migration vorerst nicht möglich, gilt dieselbe Reihenfolge wie für andere Dienste:

  1. Aus dem öffentlichen Netz nehmen. An ein privates Interface binden oder Quell-IPs einschränken. Die meisten FTP-CVEs sind Pre-Auth-Bugs, die Erreichbarkeit voraussetzen.
  2. In derselben Woche patchen. vsftpd, ProFTPD und Pure-FTPd liefern Sicherheits-Releases zügig; Ubuntu/Debian-Pakete ziehen im regulären Security-Stream nach.
  3. Anonymen Zugriff abschalten: anonymous_enable=NO in vsftpd, <Anonymous>-Blöcke aus der ProFTPD-Config entfernen, Pure-FTPd mit Flag -E starten.
  4. chroot-Direktiven nutzen (chroot_local_user=YES), um Nutzer auf ihr Heimverzeichnis einzusperren. In älteren Versionen kein vollständiges Containment, reduziert aber die Angriffsfläche deutlich.

Wie blueredix FTP-Befunde meldet

Der Scanner erkennt vsftpd, ProFTPD, Pure-FTPd und vergleichbare aus ihren Bannern und führt denselben Datenbank-Lookup samt Filterung wie bei anderen Diensten durch.

Pro FTP-Server-Befund zeigt der Bericht:

  • Erkannte Version.
  • Ob anonymer Zugriff erkennbar aktiv ist (wir versuchen einen anonymen Banner-Grab).
  • Anwendbare CVEs nach dem Filter gegen Falschpositive.

Die übergeordnete Frage “ist FTP überhaupt exponiert?” ist meist wichtiger als die konkreten CVEs. Wenn Sie überrascht sind, einen FTP-Server in Ihrem Scan zu sehen, prüfen Sie zuerst, ob Sie ihn wirklich betreiben wollen, und wenn nicht, nehmen Sie ihn aus dem öffentlichen Netz.

Mehr dazu