Webmin1.930 เวอร์ชันใหม่กำจัดแบ็คดอร์ที่มีอยู่เป็นเวลาอย่างน้อยหนึ่งปี

Darkcrizt

นาทีที่ 4

ประตูหลัง

บางวันที่ผ่านมา Webmin เวอร์ชันใหม่ได้รับการเผยแพร่เพื่อลดช่องโหว่ที่ระบุว่าเป็นแบ็คดอร์ (CVE-2019-15107) พบในเวอร์ชันทางการของโครงการซึ่งเผยแพร่ผ่าน Sourceforge

แบ็คดอร์ที่ค้นพบ มีอยู่ในเวอร์ชันตั้งแต่ปีพ. ศ. 1.882 ถึง พ.ศ. 1.921 รวม (ไม่มีรหัสที่มีแบ็คดอร์ในที่เก็บ git) และคุณได้รับอนุญาตให้ดำเนินการคำสั่งเชลล์ตามอำเภอใจบนระบบที่มีสิทธิ์รูทจากระยะไกลโดยไม่ต้องมีการพิสูจน์ตัวตน

เกี่ยวกับ Webmin

สำหรับผู้ที่ไม่รู้จัก Webmin พวกเขาควรจะรู้ว่า นี่คือแผงควบคุมบนเว็บสำหรับควบคุมระบบ Linux ให้อินเทอร์เฟซที่ใช้งานง่ายและใช้งานง่ายในการจัดการเซิร์ฟเวอร์ของคุณ Webmin เวอร์ชันล่าสุดยังสามารถติดตั้งและรันบนระบบ Windows

ด้วย Webmin คุณสามารถเปลี่ยนการตั้งค่าแพ็คเกจทั่วไปได้ทันทีรวมถึงเว็บเซิร์ฟเวอร์และฐานข้อมูลตลอดจนการจัดการผู้ใช้กลุ่มและแพ็คเกจซอฟต์แวร์

Webmin ช่วยให้ผู้ใช้สามารถดูกระบวนการทำงานตลอดจนรายละเอียดเกี่ยวกับแพ็คเกจที่ติดตั้ง จัดการไฟล์บันทึกระบบแก้ไขไฟล์การกำหนดค่าของอินเทอร์เฟซเครือข่ายเพิ่มกฎไฟร์วอลล์กำหนดเขตเวลาและนาฬิการะบบเพิ่มเครื่องพิมพ์ผ่าน CUPS แสดงรายการโมดูล Perl ที่ติดตั้งกำหนดค่า SSH หรือ Server DHCP และตัวจัดการระเบียนโดเมน DNS

Webmin 1.930 มาถึงเพื่อกำจัดแบ็คดอร์

เวอร์ชันใหม่ของ Webmin เวอร์ชัน 1.930 ได้รับการเผยแพร่เพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล ช่องโหว่นี้มีโมดูลการโจมตีที่เปิดเผยต่อสาธารณะ Que แท้จริง ทำให้ระบบการจัดการ UNIX เสมือนจำนวนมากตกอยู่ในความเสี่ยง

คำแนะนำด้านความปลอดภัยระบุว่าเวอร์ชัน 1.890 (CVE-2019-15231) มีช่องโหว่ในการกำหนดค่าเริ่มต้นในขณะที่เวอร์ชันอื่น ๆ ที่ได้รับผลกระทบต้องการให้เปิดใช้งานตัวเลือก "เปลี่ยนรหัสผ่านผู้ใช้"

เกี่ยวกับช่องโหว่

ผู้โจมตีสามารถส่งคำขอ http ที่เป็นอันตรายไปยังหน้าแบบฟอร์มคำขอรีเซ็ตรหัสผ่าน เพื่อฉีดโค้ดและเข้าครอบครองเว็บแอปพลิเคชัน webmin ตามรายงานช่องโหว่ผู้โจมตีไม่จำเป็นต้องมีชื่อผู้ใช้หรือรหัสผ่านที่ถูกต้องเพื่อใช้ประโยชน์จากข้อบกพร่องนี้

การดำรงอยู่ของลักษณะนี้หมายความว่า eช่องโหว่นี้อาจปรากฏใน Webmin ตั้งแต่เดือนกรกฎาคม 2018

การโจมตีจำเป็นต้องมีพอร์ตเครือข่ายแบบเปิดที่มี Webmin และกิจกรรมในอินเทอร์เฟซเว็บของฟังก์ชันเพื่อเปลี่ยนรหัสผ่านที่ล้าสมัย (โดยค่าเริ่มต้นจะเปิดใช้งานในรุ่น 1.890 แต่จะปิดใช้งานในเวอร์ชันอื่น ๆ )

ปัญหาได้รับการแก้ไขแล้วในการอัปเดต 1.930.

ในฐานะมาตรการชั่วคราวในการล็อคประตูหลังเพียงแค่ลบการตั้งค่า "passwd_mode =" ออกจากไฟล์การกำหนดค่า /etc/webmin/miniserv.conf มีการเตรียมการหาประโยชน์จากต้นแบบสำหรับการทดสอบ

พบปัญหาในสคริปต์ password_change.cgi ซึ่งใช้ฟังก์ชัน unix_crypt เพื่อตรวจสอบรหัสผ่านเดิมที่ป้อนในแบบฟอร์มบนเว็บซึ่งจะส่งรหัสผ่านที่ได้รับจากผู้ใช้โดยไม่ต้องใช้อักขระพิเศษ

ในที่เก็บ git ฟังก์ชันนี้เป็นลิงค์บนโมดูล Crypt :: UnixCrypt และไม่เป็นอันตราย แต่ในไฟล์ซอร์สฟอร์จที่ให้มาพร้อมกับโค้ดจะมีการเรียกโค้ดที่เข้าถึง / etc / shadow โดยตรง แต่ทำเช่นนั้นกับโครงสร้างเชลล์

ในการโจมตีเพียงแค่ระบุสัญลักษณ์« | » ในฟิลด์ด้วยรหัสผ่านเดิม และรหัสต่อไปนี้จะทำงานด้วยสิทธิ์รูทบนเซิร์ฟเวอร์

ตามคำแถลงของนักพัฒนา Webmin โค้ดที่เป็นอันตรายถูกแทนที่เนื่องจากการบุกรุกโครงสร้างพื้นฐานของโครงการ

รายละเอียดยังไม่ได้รับการประกาศดังนั้นจึงไม่ชัดเจนว่าการแฮ็กนั้น จำกัด เฉพาะการควบคุมบัญชีที่ Sourceforge หรือหากส่งผลกระทบต่อองค์ประกอบอื่น ๆ ของโครงสร้างพื้นฐานการประกอบและการพัฒนาของ Webmin

ปัญหานี้ยังส่งผลกระทบต่อการสร้าง Usermin ขณะนี้ไฟล์สำหรับบูตทั้งหมดถูกสร้างขึ้นใหม่จาก Git


แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. ผู้รับผิดชอบข้อมูล: Miguel ÁngelGatón
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา