บางวันที่ผ่านมา Webmin เวอร์ชันใหม่ได้รับการเผยแพร่เพื่อลดช่องโหว่ที่ระบุว่าเป็นแบ็คดอร์ (CVE-2019-15107) พบในเวอร์ชันทางการของโครงการซึ่งเผยแพร่ผ่าน Sourceforge
แบ็คดอร์ที่ค้นพบ มีอยู่ในเวอร์ชันตั้งแต่ปีพ. ศ. 1.882 ถึง พ.ศ. 1.921 รวม (ไม่มีรหัสที่มีแบ็คดอร์ในที่เก็บ git) และคุณได้รับอนุญาตให้ดำเนินการคำสั่งเชลล์ตามอำเภอใจบนระบบที่มีสิทธิ์รูทจากระยะไกลโดยไม่ต้องมีการพิสูจน์ตัวตน
เกี่ยวกับ Webmin
สำหรับผู้ที่ไม่รู้จัก Webmin พวกเขาควรจะรู้ว่า นี่คือแผงควบคุมบนเว็บสำหรับควบคุมระบบ Linux ให้อินเทอร์เฟซที่ใช้งานง่ายและใช้งานง่ายในการจัดการเซิร์ฟเวอร์ของคุณ Webmin เวอร์ชันล่าสุดยังสามารถติดตั้งและรันบนระบบ Windows
ด้วย Webmin คุณสามารถเปลี่ยนการตั้งค่าแพ็คเกจทั่วไปได้ทันทีรวมถึงเว็บเซิร์ฟเวอร์และฐานข้อมูลตลอดจนการจัดการผู้ใช้กลุ่มและแพ็คเกจซอฟต์แวร์
Webmin ช่วยให้ผู้ใช้สามารถดูกระบวนการทำงานตลอดจนรายละเอียดเกี่ยวกับแพ็คเกจที่ติดตั้ง จัดการไฟล์บันทึกระบบแก้ไขไฟล์การกำหนดค่าของอินเทอร์เฟซเครือข่ายเพิ่มกฎไฟร์วอลล์กำหนดเขตเวลาและนาฬิการะบบเพิ่มเครื่องพิมพ์ผ่าน CUPS แสดงรายการโมดูล Perl ที่ติดตั้งกำหนดค่า SSH หรือ Server DHCP และตัวจัดการระเบียนโดเมน DNS
Webmin 1.930 มาถึงเพื่อกำจัดแบ็คดอร์
เวอร์ชันใหม่ของ Webmin เวอร์ชัน 1.930 ได้รับการเผยแพร่เพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล ช่องโหว่นี้มีโมดูลการโจมตีที่เปิดเผยต่อสาธารณะ Que แท้จริง ทำให้ระบบการจัดการ UNIX เสมือนจำนวนมากตกอยู่ในความเสี่ยง
คำแนะนำด้านความปลอดภัยระบุว่าเวอร์ชัน 1.890 (CVE-2019-15231) มีช่องโหว่ในการกำหนดค่าเริ่มต้นในขณะที่เวอร์ชันอื่น ๆ ที่ได้รับผลกระทบต้องการให้เปิดใช้งานตัวเลือก "เปลี่ยนรหัสผ่านผู้ใช้"
เกี่ยวกับช่องโหว่
ผู้โจมตีสามารถส่งคำขอ http ที่เป็นอันตรายไปยังหน้าแบบฟอร์มคำขอรีเซ็ตรหัสผ่าน เพื่อฉีดโค้ดและเข้าครอบครองเว็บแอปพลิเคชัน webmin ตามรายงานช่องโหว่ผู้โจมตีไม่จำเป็นต้องมีชื่อผู้ใช้หรือรหัสผ่านที่ถูกต้องเพื่อใช้ประโยชน์จากข้อบกพร่องนี้
การดำรงอยู่ของลักษณะนี้หมายความว่า eช่องโหว่นี้อาจปรากฏใน Webmin ตั้งแต่เดือนกรกฎาคม 2018
การโจมตีจำเป็นต้องมีพอร์ตเครือข่ายแบบเปิดที่มี Webmin และกิจกรรมในอินเทอร์เฟซเว็บของฟังก์ชันเพื่อเปลี่ยนรหัสผ่านที่ล้าสมัย (โดยค่าเริ่มต้นจะเปิดใช้งานในรุ่น 1.890 แต่จะปิดใช้งานในเวอร์ชันอื่น ๆ )
ปัญหาได้รับการแก้ไขแล้วในการอัปเดต 1.930.
พบปัญหาในสคริปต์ password_change.cgi ซึ่งใช้ฟังก์ชัน unix_crypt เพื่อตรวจสอบรหัสผ่านเดิมที่ป้อนในแบบฟอร์มบนเว็บซึ่งจะส่งรหัสผ่านที่ได้รับจากผู้ใช้โดยไม่ต้องใช้อักขระพิเศษ
ในที่เก็บ git ฟังก์ชันนี้เป็นลิงค์บนโมดูล Crypt :: UnixCrypt และไม่เป็นอันตราย แต่ในไฟล์ซอร์สฟอร์จที่ให้มาพร้อมกับโค้ดจะมีการเรียกโค้ดที่เข้าถึง / etc / shadow โดยตรง แต่ทำเช่นนั้นกับโครงสร้างเชลล์
ในการโจมตีเพียงแค่ระบุสัญลักษณ์« | » ในฟิลด์ด้วยรหัสผ่านเดิม และรหัสต่อไปนี้จะทำงานด้วยสิทธิ์รูทบนเซิร์ฟเวอร์
ตามคำแถลงของนักพัฒนา Webmin โค้ดที่เป็นอันตรายถูกแทนที่เนื่องจากการบุกรุกโครงสร้างพื้นฐานของโครงการ
รายละเอียดยังไม่ได้รับการประกาศดังนั้นจึงไม่ชัดเจนว่าการแฮ็กนั้น จำกัด เฉพาะการควบคุมบัญชีที่ Sourceforge หรือหากส่งผลกระทบต่อองค์ประกอบอื่น ๆ ของโครงสร้างพื้นฐานการประกอบและการพัฒนาของ Webmin
ปัญหานี้ยังส่งผลกระทบต่อการสร้าง Usermin ขณะนี้ไฟล์สำหรับบูตทั้งหมดถูกสร้างขึ้นใหม่จาก Git