Een paar dagen geleden er is een nieuwe versie van Webmin uitgebracht om een kwetsbaarheid te verminderen die als een achterdeur wordt geïdentificeerd (CVE-2019-15107), gevonden in de officiële versies van het project, dat wordt verspreid via Sourceforge.
De ontdekte achterdeur was aanwezig in versies van 1.882 tot 1.921 inclusief (er was geen code met een achterdeur in de git-repository) en je mocht op afstand willekeurige shell-commando's uitvoeren op een root-geprivilegieerd systeem zonder authenticatie.
Over Webmin
Voor degenen die niets weten over Webmin ze zouden dat moeten weten Dit is een webgebaseerd configuratiescherm voor het besturen van Linux-systemen. Biedt een intuïtieve en gebruiksvriendelijke interface om uw server te beheren. Recente versies van Webmin kunnen ook op Windows-systemen worden geïnstalleerd en uitgevoerd.
Met Webmin kunt u veelgebruikte pakketinstellingen direct wijzigen, inclusief webservers en databases, evenals het beheer van gebruikers, groepen en softwarepakketten.
Met Webmin kan de gebruiker de lopende processen zien, evenals details over de geïnstalleerde pakketten, systeemlogbestanden beheren, configuratiebestanden van een netwerkinterface bewerken, firewallregels toevoegen, tijdzone en systeemklok configureren, printers toevoegen via CUPS, geïnstalleerde Perl-modules weergeven, een SSH- of server-DHCP configureren en DNS-domeinrecords beheren.
Webmin 1.930 arriveert om de achterdeur te elimineren
De nieuwe versie van Webmin versie 1.930 is uitgebracht om een kwetsbaarheid voor het uitvoeren van externe code op te lossen. Deze kwetsbaarheid heeft openbaar beschikbare exploit-modules, als brengt veel virtuele UNIX-beheersystemen in gevaar.
Het beveiligingsadvies geeft aan dat versie 1.890 (CVE-2019-15231) kwetsbaar is in de standaardconfiguratie, terwijl de andere getroffen versies vereisen dat de optie "gebruikerswachtwoord wijzigen" is ingeschakeld.
Over kwetsbaarheid
Een aanvaller kan een kwaadaardig http-verzoek sturen naar de pagina met het aanvraagformulier voor wachtwoordherstel om code te injecteren en de webmin webapplicatie over te nemen. Volgens het kwetsbaarheidsrapport heeft een aanvaller geen geldige gebruikersnaam of wachtwoord nodig om deze fout te misbruiken.
Het bestaan van dit kenmerk betekent dat eDeze kwetsbaarheid is mogelijk aanwezig in Webmin sinds juli 2018.
Een aanval vereist de aanwezigheid van een open netwerkpoort met Webmin en activiteit in de webinterface van de functie om een verouderd wachtwoord te wijzigen (standaard is het ingeschakeld in de 1.890-builds, maar het is uitgeschakeld in andere versies).
Het probleem is opgelost in update 1.930.
Het probleem is ontdekt in het password_change.cgi-script, waarin de unix_crypt-functie wordt gebruikt om het oude wachtwoord te verifiëren dat is ingevoerd in het webformulier, dat het wachtwoord verzendt dat van de gebruiker is ontvangen zonder speciale tekens te ontsnappen.
In de git-repository, deze functie is een link op de Crypt :: UnixCrypt-module en het is niet gevaarlijk, maar in het sourceforge-bestand dat bij de code wordt geleverd, wordt een code genoemd die rechtstreeks toegang heeft tot / etc / shadow, maar dit doet met de shell-constructie.
Om aan te vallen, hoeft u alleen het symbool «|» aan te duiden in het veld met het oude wachtwoord en de volgende code zal draaien met root-privileges op de server.
Volgens de verklaring van de Webmin-ontwikkelaars, de kwaadaardige code was aan het vervangen als gevolg van het compromitteren van de projectinfrastructuur.
Details moeten nog worden aangekondigd, dus het is onduidelijk of de hack beperkt was tot het overnemen van een account bij Sourceforge of dat het andere elementen van de assemblage- en ontwikkelingsinfrastructuur van Webmin beïnvloedde.
Het probleem was ook van invloed op Usermin-builds. Momenteel worden alle opstartbestanden opnieuw opgebouwd vanuit Git.