Несколько дней тому назад была выпущена новая версия Webmin для устранения уязвимости, идентифицированной как бэкдор (CVE-2019-15107), найденный в официальных версиях проекта, который распространяется через Sourceforge.
Бэкдор обнаружен присутствовал в версиях с 1.882 по 1.921 год включительно (в репозитории git не было кода с бэкдором), и вам было разрешено выполнять произвольные команды оболочки в системе с привилегиями root удаленно без аутентификации.
О Webmin
Для тех, кто не знает о Webmin они должны знать, что Это веб-панель управления системами Linux. Предоставляет интуитивно понятный и простой в использовании интерфейс для управления вашим сервером. Последние версии Webmin также можно установить и запустить в системах Windows.
С помощью Webmin вы можете изменять общие настройки пакета на лету, включая веб-серверы и базы данных, а также управление пользователями, группами и программными пакетами.
Webmin позволяет пользователю видеть запущенные процессы, а также подробную информацию об установленных пакетах, управлять файлами системного журнала, редактировать файлы конфигурации сетевого интерфейса, добавлять правила брандмауэра, настраивать часовой пояс и системные часы, добавлять принтеры через CUPS, выводить список установленных модулей Perl, настраивать SSH или сервер DHCP и диспетчер записей домена DNS.
Webmin 1.930 прибывает, чтобы устранить бэкдор
Новая версия Webmin версии 1.930 была выпущена для устранения уязвимости удаленного выполнения кода. У этой уязвимости есть общедоступные модули эксплойтов, как подвергает риску многие виртуальные системы управления UNIX.
Совет по безопасности указывает, что версия 1.890 (CVE-2019-15231) уязвима в конфигурации по умолчанию, в то время как другие уязвимые версии требуют, чтобы была включена опция «изменить пароль пользователя».
Об уязвимости
Злоумышленник может отправить вредоносный http-запрос на страницу формы запроса сброса пароля. чтобы внедрить код и взять на себя управление веб-приложением webmin. Согласно отчету об уязвимости, злоумышленнику не требуется действительное имя пользователя или пароль для использования этой уязвимости.
Наличие этой характеристики означает, что eЭта уязвимость потенциально присутствует в Webmin с июля 2018 года.
Атака требует наличия открытого сетевого порта с Webmin. и активность в веб-интерфейсе функции смены устаревшего пароля (по умолчанию она включена в сборках 1.890, но отключена в других версиях).
Проблема исправлена в обновлении 1.930..
Проблема была обнаружена в скрипте password_change.cgi, в котором функция unix_crypt используется для проверки старого пароля, введенного в веб-форму, которая отправляет пароль, полученный от пользователя, без экранирования специальных символов.
В репозитории git эта функция является ссылкой на модуль Crypt :: UnixCrypt и это не опасно, но в файле sourceforge, предоставленном с кодом, вызывается код, который напрямую обращается к / etc / shadow, но делает это с помощью конструкции оболочки.
Для атаки достаточно указать символ «|» в поле со старым паролем и следующий код будет работать с привилегиями root на сервере.
Согласно заявлению разработчиков Webmin, вредоносный код подменялся в результате компрометации инфраструктуры проекта.
Подробности еще не объявлены, поэтому неясно, был ли взлом ограничен получением контроля над учетной записью в Sourceforge или затронул другие элементы инфраструктуры сборки и разработки Webmin.
Проблема также затронула сборки Usermin. В настоящее время все загрузочные файлы перестраиваются из Git.