Faz alguns dias uma nova versão do Webmin foi lançada para mitigar uma vulnerabilidade identificada como backdoor (CVE-2019-15107), encontrado nas versões oficiais do projeto, que é distribuído através do Sourceforge.
A porta dos fundos descoberta esteve presente nas versões de 1.882 a 1.921 inclusive (não havia código com um backdoor no repositório git) e você tinha permissão para executar comandos de shell arbitrários em um sistema com privilégios de root remotamente sem autenticação.
Sobre o Webmin
Para quem não conhece o Webmin eles deveriam saber que Este é um painel de controle baseado na web para controlar sistemas Linux. Fornece uma interface intuitiva e fácil de usar para gerenciar seu servidor. Versões recentes do Webmin também podem ser instaladas e executadas em sistemas Windows.
Com o Webmin, você pode alterar as configurações de pacotes comuns na hora, incluindo servidores da web e bancos de dados, bem como o gerenciamento de usuários, grupos e pacotes de software.
O Webmin permite ao usuário ver os processos em execução, bem como detalhes sobre os pacotes instalados, gerenciar arquivos de log do sistema, editar arquivos de configuração de uma interface de rede, adicionar regras de firewall, configurar fuso horário e relógio do sistema, adicionar impressoras por meio de CUPS, listar módulos Perl instalados, configurar SSH ou DHCP de servidor e gerenciador de registros de domínio DNS.
Webmin 1.930 chega para eliminar a porta dos fundos
A nova versão do Webmin versão 1.930 foi lançada para abordar uma vulnerabilidade de execução remota de código. Esta vulnerabilidade possui módulos de exploração disponíveis publicamente, como coloca muitos sistemas de gerenciamento UNIX virtuais em risco.
O aviso de segurança indica que a versão 1.890 (CVE-2019-15231) é vulnerável na configuração padrão, enquanto as outras versões afetadas exigem que a opção "alterar a senha do usuário" esteja habilitada.
Sobre vulnerabilidade
Um invasor pode enviar uma solicitação http maliciosa para a página do formulário de solicitação de redefinição de senha para injetar código e assumir o controle do aplicativo da web webmin. De acordo com o relatório de vulnerabilidade, um invasor não precisa de um nome de usuário ou senha válidos para explorar esta falha.
A existência desta característica significa que eEsta vulnerabilidade está potencialmente presente no Webmin desde julho de 2018.
Um ataque requer a presença de uma porta de rede aberta com o Webmin e atividade na interface da web da função para alterar uma senha desatualizada (por padrão, ela é ativada nas compilações de 1.890, mas é desativada em outras versões).
O problema foi corrigido na atualização 1.930.
O problema foi descoberto no script password_change.cgi, em que a função unix_crypt é usada para verificar a senha antiga inserida no formulário da web, que envia a senha recebida do usuário sem escapar caracteres especiais.
No repositório git, esta função é um link no módulo Crypt :: UnixCrypt e não é perigoso, mas no arquivo sourceforge fornecido com o código, um código é chamado que acessa diretamente / etc / shadow, mas o faz com a construção do shell.
Para atacar, basta indicar o símbolo «|» no campo com a senha antiga e o código a seguir será executado com privilégios de root no servidor.
De acordo com o comunicado dos desenvolvedores do Webmin, o código malicioso estava sendo substituído no resultado do comprometimento da infraestrutura do projeto.
Os detalhes ainda não foram anunciados, então não está claro se o hack se limitou a assumir o controle de uma conta no Sourceforge ou se afetou outros elementos da infraestrutura de montagem e desenvolvimento do Webmin.
O problema também afetou as compilações do Usermin. Atualmente, todos os arquivos de inicialização são reconstruídos a partir do Git.