Kilka dni temu nowa wersja Webmina została wydana w celu złagodzenia luki zidentyfikowanej jako backdoor (CVE-2019-15107), znajdujący się w oficjalnych wersjach projektu, który jest rozpowszechniany za pośrednictwem Sourceforge.
Odkryte tylne drzwi był obecny w wersjach od 1.882 do 1.921 włącznie (w repozytorium git nie było kodu z backdoorem) i pozwolono ci wykonywać dowolne polecenia powłoki w systemie z uprawnieniami roota zdalnie bez uwierzytelniania.
O Webmin
Dla tych, którzy nie wiedzą o Webmin powinni to wiedzieć Jest to internetowy panel sterowania do sterowania systemami Linux. Zapewnia intuicyjny i łatwy w użyciu interfejs do zarządzania serwerem. Najnowsze wersje Webmin można również zainstalować i uruchamiać w systemach Windows.
Dzięki Webmin możesz zmieniać typowe ustawienia pakietów w locie, w tym serwery internetowe i bazy danych, a także zarządzanie użytkownikami, grupami i pakietami oprogramowania.
Webmin pozwala użytkownikowi zobaczyć uruchomione procesy, a także szczegóły dotyczące zainstalowanych pakietów, zarządzaj plikami dziennika systemu, edytuj pliki konfiguracyjne interfejsu sieciowego, dodawaj reguły zapory, konfiguruj strefę czasową i zegar systemowy, dodawaj drukarki przez CUPS, wyświetlaj listę zainstalowanych modułów Perla, konfiguruj SSH lub serwer DHCP i menedżera rekordów DNS.
Webmin 1.930 przybywa, aby wyeliminować tylne drzwi
Nowa wersja programu Webmin 1.930 została wydana w celu usunięcia luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu. Ta luka ma publicznie dostępne moduły exploitów, que lo stwarza zagrożenie dla wielu wirtualnych systemów zarządzania UNIX.
Poradnik dotyczący zabezpieczeń wskazuje, że wersja 1.890 (CVE-2019-15231) jest podatna na ataki w domyślnej konfiguracji, podczas gdy inne wersje, których dotyczy problem, wymagają włączenia opcji „Zmień hasło użytkownika”.
O podatności
Osoba atakująca może wysłać złośliwe żądanie http na stronę formularza żądania resetowania hasła wstrzyknąć kod i przejąć aplikację internetową webmin. Zgodnie z raportem o luce atakujący nie potrzebuje ważnej nazwy użytkownika ani hasła, aby wykorzystać tę lukę.
Istnienie tej cechy oznacza, że eTa luka może być obecna w Webmin od lipca 2018 roku.
Atak wymaga obecności otwartego portu sieciowego z Webminem i aktywność w interfejsie internetowym funkcji zmiany nieaktualnego hasła (domyślnie jest włączona w kompilacjach 1.890, ale jest wyłączona w innych wersjach).
Problem został rozwiązany w aktualizacji 1.930.
Problem został wykryty w skrypcie password_change.cgi, w którym funkcja unix_crypt służy do weryfikacji starego hasła wprowadzonego w formularzu WWW, który wysyła hasło otrzymane od użytkownika bez znaków specjalnych.
W repozytorium git ta funkcja jest odsyłaczem do modułu Crypt :: UnixCrypt i nie jest to niebezpieczne, ale w pliku sourceforge dostarczonym z kodem wywoływany jest kod, który bezpośrednio uzyskuje dostęp do / etc / shadow, ale robi to za pomocą konstrukcji powłoki.
Aby zaatakować, wystarczy wskazać symbol «|» w polu ze starym hasłem a poniższy kod będzie działał z uprawnieniami roota na serwerze.
Zgodnie z oświadczeniem twórców Webmin, złośliwy kod zastępował w wyniku naruszenia infrastruktury projektu.
Szczegóły nie zostały jeszcze ogłoszone, więc nie jest jasne, czy włamanie ograniczało się do przejęcia kontroli nad kontem w Sourceforge, czy też wpłynęło na inne elementy infrastruktury montażowej i programistycznej Webmina.
Problem dotyczył również kompilacji Usermina. Obecnie wszystkie pliki rozruchowe są odbudowywane z Gita.