SRV-171 FTP 서비스 정보 노출

SRV-171 FTP 서비스 정보 노출

【 상세설명 】
FTP 접속 시 노출되는 배너에서 공격자가 유용한 정보 획득할 가능성이 존재하므로, 불필요하게 노출되는 정보 존재 유무를 점검

【 판단기준 】
- 양호 : FTP 접속 배너에 노출되는 정보가 없는 경우
- 취약 : FTP 접속 배너에 노출되는 정보가 있는 경우

※ 정보 노출: 서비스명 + 버전 정보가 노출되는 경우 취약

【 판단방법 】
  1. FPT 서비스 banner message 확인
      ※ proftp, vsftp 서비스를 사용하는 경우 각 서비스 설정 파일에서 설정 확인

  ■ Linux
    [ ftp ] : greeting terse 설정 확인
      # cat /etc/ftpd/ftpaccess | grep greeting

    [ proftp ] : ServerIdent 설정 확인
      # cat /etc/proftpd.conf | grep ServerIdent
      # cat /etc/proftpd/proftpd.conf | grep ServerIdent
      # cat /etc/proftpd/conf/proftpd.conf | grep ServerIdent
      # cat /usr/local/etc/proftpd.conf | grep ServerIdent
      # cat /usr/local/proftpd/etc/proftpd.conf | grep ServerIdent
          ServerIdent        on "FTP Server ready."

    [ vsftp ] : ftpd_banner 또는 banner_file 설정 확인
      # cat /etc/vsftpd.conf | grep banner
      # cat /etc/vsftpd/vsftpd.conf | grep banner
      # cat /etc/vsftpd/conf/vsftpd.conf | grep banner
          #ftpd_banner=Welcome to blah FTP service.
      또는
          banner_file=<banner_file_path>

  ■ AIX
    [ ftp ] : %s 파라미터 존재 유무 확인( %s 파라미터가 존재하는 경우 "취약")
      # dspcat /usr/lib/nls/msg/en_US/ftpd.cat > /tmp/ftpd.msg
      # cat /tmp/ftpd.msg
          "(%s) FTP server (%s) ready."

  ■ HP-UX
    [ ftp ]
      # cat /etc/inetd.conf | grep /usr/lbin/ftpd
          ftp stream tcp nowait root /usr/lbin/ftpd ftpd -l
      # what /usr/lbin/ftpd
          Version wuftpd-2.6.1  Fri Dec  4 10:05:22 GMT 2009

      (wu-ftpd 2.4 버전 미만) : "suppresshostname yes", "suppressversion yes" 및 banner 설정 확인
          # cat /etc/ftpd/ftpaccess | egrep "suppresshostname|suppressversion|banner"
              suppresshostname yes
              suppressversion yes
              banner /etc/ftpd/ftp_banner

      (wu-ftpd 2.4 버전 이상) : greeting 설정 확인
          # cat /etc/ftpd/ftpaccess | grep greeting
              greeting terse

  ■ SOLARIS 8 이하
    [ ftp ] : BANNER 설정 확인
      # cat /etc/default/ftpd | grep BANNER
          BANNER="<banner_massage>"

  ■ SOLARIS 9, 10
    [ ftp ]
      # cat /etc/inetd.conf | grep /usr/sbin/in.ftpd
          ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd -l
      # what /usr/lbin/ftpd
          Version wuftpd-2.6.1  Fri Dec  4 10:05:22 GMT 2009

      (wu-ftpd 2.4 버전 미만) : "suppresshostname yes", "suppressversion yes" 및 banner 설정 확인
          # cat /etc/ftpd/ftpaccess | egrep "suppresshostname|suppressversion|banner"
              suppresshostname yes
              suppressversion yes
              banner /etc/ftpd/ftp_banner

      (wu-ftpd 2.4 버전 이상) : greeting 설정 확인
          # cat /etc/ftpd/ftpaccess | grep greeting
              greeting terse

  ■ SOLARIS 11
    [ proftp ] : ServerIdent 설정 확인
      # cat /etc/proftpd.conf | grep ServerIdent
          ServerIdent        on "FTP Server ready."

  ■ RHEL 6, 7, 8, 9
    [ ftp ] : greeting terse 설정 확인
      # cat /etc/ftpd/ftpaccess | grep greeting

    [ proftp ] : ServerIdent 설정 확인
      # cat /etc/proftpd.conf | grep ServerIdent
          ServerIdent        on "FTP Server ready."

    [ vsftp ] : ftpd_banner 또는 banner_file 설정 확인
      # cat /etc/vsftpd/vsftpd.conf | grep banner
          #ftpd_banner=Welcome to blah FTP service.
      또는
          banner_file=<banner_file_path>

【 조치방법 】
  1. FPT 서비스 banner message 설정
      ※ proftp, vsftp 서비스를 사용하는 경우 각 서비스 설정 파일에서 설정
      ※ .msg 파일을 사용하는 경우
          # vi /etc/ftpd/ftp_banner.msg
              <banner_massage>
  2. FTP 서비스 재시작
      ※ inetd.conf 파일 설정을 변경한 경우 inet 서비스도 재시작

  2024-01-13 : (조치과정 삭제)