Fa alguns dies va ser llançada una nova versió de Webmin amb la finalitat de mitigar una vulnerabilitat identifica com un backdoor (CVE-2019-15107), que es troba en les versions oficials de el projecte, que és distribuïda a través de Sourceforge.
El backdoor descobert estava present en les versions de 1.882-1.921 inclusivament (no hi havia codi amb una porta del darrere en el repositori git) i se li permetia executar comandes shell arbitraris en un sistema amb privilegis d'arrel de forma remota sense autenticació.
sobre Webmin
Per als qui desconeixen Webmin han de saber que aquest és un panell de control basat en la web per al control de sistemes Linux. Proporciona una interfície intuïtiva i fàcil d'utilitzar per administrar el seu servidor. Les versions recents de Webmin també es poden instal·lar i executar en sistemes Windows.
Amb Webmin, es pot canviar la configuració dels paquets comuns sobre la marxa, Inclosos els servidors web i les bases de dades, així com administrar usuaris, grups i paquets de programari.
Webmin permet a l'usuari poder veure els processos en execució, així com també els detalls sobre els paquets instal·lats, administrar arxius de registre de sistema, editar arxius de configuració d'una interfície de xarxa, afegir regles de tallafocs, configurar la zona horària i el rellotge de sistema, afegir impressores a través del treball CUPS, llistar els mòduls Perl instal·lats, configurar un SSH o Servidor DHCP, i gestor de registres de domini DNS.
Webmin 1.930 arriba per eliminar el backdoor
La nova versió de Webmin versió 1.930 va ser llançada per abordar una vulnerabilitat d'execució remota de codi. Aquesta vulnerabilitat tenen mòduls d'explotació disponibles públicament, el que posa en risc molts sistemes virtuals d'administració UNIX.
L'avís de seguretat indica que la versió 1.890 (CVE-2019-15231) és vulnerable a la configuració per defecte, mentre que les altres versions afectades requereixen que l'opció «canvi de contrasenya d'usuari» estigui habilitada.
Sobre la vulnerabilitat
Un atacant pot enviar una sol·licitud http maliciosa a la pàgina de l'formulari de sol·licitud de restabliment de contrasenya per injectar codi i fer-se càrrec de l'aplicació web webmin. Segons l'informe de vulnerabilitat, un atacant no necessita un nom d'usuari o contrasenya vàlids per a explotar aquesta falla.
L'existència d'aquesta característica vol dir que ista vulnerabilitat potencialment ha estat present a Webmin des de juliol de 2018.
Un atac requereix la presència d'un port de xarxa obert amb Webmin i activitat a la interfície web de la funció per canviar una contrasenya desactualitzada (per defecte hi ha suport per les compilacions 1.890, però està desactivada en altres versions).
El problema es va solucionar en l'actualització 1.930.
El problema es va descobrir en l'script password_change.cgi, en el qual la funció unix_crypt s'usa per verificar la contrasenya anterior ingressada a l'formulari web, que envia la contrasenya rebuda de l'usuari sense escapar caràcters especials.
Al repositori de git, aquesta funció és un enllaç sobre el mòdul Crypt :: UnixCrypt i no és perillós, però a l'arxiu sourceforge proveït amb el codi, es diu un codi que accedeix directament a / etc / shadow, però ho fa amb la construcció de shell.
Per atacar, només cal indicar el símbol «|» al camp amb la contrasenya anterior i el codi següent s'executarà amb privilegis de root al servidor.
D'acord amb la declaració dels desenvolupadors de Webmin, el codi maliciós va ser substituint en el resultat de l'compromís de la infraestructura de el projecte.
Els detalls encara no s'han anunciat, pel que no està clar si el truc es va limitar a prendre el control d'un compte a Sourceforge o si va afectar a altres elements de la infraestructura de desenvolupament i acoblament de Webmin.
El problema també va afectar les compilacions d'Usermin. Actualment, tots els arxius d'arrencada es reconstrueixen des Git.