Qualche giorno fa è stata rilasciata una nuova versione di Webmin per mitigare una vulnerabilità identificata come backdoor (CVE-2019-15107), che si trova nelle versioni ufficiali del progetto, distribuito tramite Sourceforge.
La backdoor scoperta era presente nelle versioni dal 1.882 al 1.921 inclusivo (non c'era codice con una backdoor nel repository git) e ti era permesso eseguire comandi shell arbitrari su un sistema con privilegi di root in remoto senza autenticazione.
Informazioni su Webmin
Per chi non conosce Webmin dovrebbero saperlo Questo è un pannello di controllo basato sul web per il controllo dei sistemi Linux. Fornisce un'interfaccia intuitiva e facile da usare per gestire il tuo server. Le versioni recenti di Webmin possono essere installate ed eseguite anche su sistemi Windows.
Con Webmin, puoi modificare al volo le impostazioni comuni dei pacchetti, inclusi server Web e database, nonché la gestione di utenti, gruppi e pacchetti software.
Webmin consente all'utente di vedere i processi in esecuzione, nonché i dettagli sui pacchetti installati, gestire i file di registro di sistema, modificare i file di configurazione di un'interfaccia di rete, aggiungere regole del firewall, configurare il fuso orario e l'orologio di sistema, aggiungere stampanti tramite CUPS, elencare i moduli Perl installati, configurare un SSH o Server DHCP e il gestore dei record del dominio DNS.
Webmin 1.930 arriva per eliminare la backdoor
La nuova versione di Webmin versione 1.930 è stata rilasciata per risolvere una vulnerabilità legata all'esecuzione di codice in modalità remota. Questa vulnerabilità ha moduli di exploit disponibili pubblicamente, come mette a rischio molti sistemi di gestione UNIX virtuali.
L'avviso di sicurezza indica che la versione 1.890 (CVE-2019-15231) è vulnerabile nella configurazione predefinita, mentre le altre versioni interessate richiedono che l'opzione "cambia password utente" sia abilitata.
A proposito di vulnerabilità
Un utente malintenzionato può inviare una richiesta http dannosa alla pagina del modulo di richiesta di reimpostazione della password per iniettare codice e assumere il controllo dell'applicazione web webmin. Secondo il rapporto sulle vulnerabilità, un utente malintenzionato non ha bisogno di un nome utente o di una password validi per sfruttare questo difetto.
L'esistenza di questa caratteristica significa che eQuesta vulnerabilità è stata potenzialmente presente in Webmin da luglio 2018.
Un attacco richiede la presenza di una porta di rete aperta con Webmin e l'attività nell'interfaccia web della funzione per modificare una password obsoleta (per impostazione predefinita è abilitata nelle build 1.890, ma è disabilitata in altre versioni).
Il problema è stato risolto nell'aggiornamento 1.930.
Il problema è stato scoperto nello script password_change.cgi, in cui la funzione unix_crypt viene utilizzata per verificare la vecchia password inserita nel modulo web, che invia la password ricevuta dall'utente senza sfuggire ai caratteri speciali.
Nel repository git, questa funzione è un collegamento al modulo Crypt :: UnixCrypt e non è pericoloso, ma nel file sourceforge fornito con il codice, viene chiamato un codice che accede direttamente a / etc / shadow, ma lo fa con il costrutto della shell.
Per attaccare basta indicare il simbolo «|» nel campo con la vecchia password e il codice seguente verrà eseguito con i privilegi di root sul server.
Secondo la dichiarazione degli sviluppatori Webmin, il codice dannoso si stava sostituendo a causa della compromissione dell'infrastruttura del progetto.
I dettagli devono ancora essere annunciati, quindi non è chiaro se l'hacking fosse limitato a prendere il controllo di un account su Sourceforge o se avesse influenzato altri elementi dell'infrastruttura di assemblaggio e sviluppo di Webmin.
Il problema ha interessato anche le build di Usermin. Attualmente tutti i file di avvio vengono ricostruiti da Git.