Кілька днів тому була випущена нова версія Webmin з метою пом'якшення вразливості, визначеної як бэкдор (CVE-2019-15107), знайдений в офіційних версіях проекту, який поширюється через Sourceforge.
Виявлений бекдор був присутній у версіях з 1.882 по 1.921 рік включно (у сховищі git не було коду з бэкдором), і вам було дозволено виконувати довільні команди оболонки в привілейованій системі root без віддаленої автентифікації.
Про Webmin
Для тих, хто не знає про Webmin вони повинні це знати Це веб-панель управління для управління системами Linux. Надає інтуїтивно зрозумілий та простий у використанні інтерфейс для управління сервером. Останні версії Webmin також можна встановлювати та запускати в системах Windows.
За допомогою Webmin ви можете змінювати загальні налаштування пакету на льоту, включаючи веб-сервери та бази даних, а також управління користувачами, групами та програмними пакетами.
Webmin дозволяє користувачеві бачити запущені процеси, а також деталі про встановлені пакети, керувати файлами системних журналів, редагувати файли конфігурації мережевого інтерфейсу, додавати правила брандмауера, налаштовувати часовий пояс та системний годинник, додавати принтери через CUPS, перераховувати встановлені модулі Perl, налаштовувати SSH або сервер DHCP та менеджер записів домену DNS.
Webmin 1.930 прибуває для усунення бекдору
Випущена нова версія Webmin версії 1.930 для усунення вразливості віддаленого виконання коду. Ці вразливості мають загальнодоступні модулі експлуатації, що ставить під загрозу багато віртуальних систем управління UNIX.
Повідомлення про безпеку вказує, що версія 1.890 (CVE-2019-15231) є вразливою у конфігурації за замовчуванням, тоді як для інших версій, що зазнають впливу, потрібно ввімкнути опцію "змінити пароль користувача".
Про вразливість
Зловмисник може надіслати зловмисний http-запит на сторінку форми запиту на скидання пароля ввести код і взяти веб-програму webmin. Згідно зі звітом про вразливість, зловмисникові не потрібне дійсне ім’я користувача чи пароль для використання цієї вади.
Існування цієї характеристики означає, що eЦя уразливість потенційно присутня у Webmin з липня 2018 року.
Атака вимагає наявності відкритого мережевого порту з Webmin і активність у веб-інтерфейсі функції щодо зміни застарілого пароля (за замовчуванням це ввімкнено в збірках 1.890 року, але в інших версіях відключено).
Проблему було виправлено в оновленні 1.930.
Проблему виявили у скрипті password_change.cgi, в якому функція unix_crypt використовується для перевірки старого пароля, введеного у веб-форму, яка надсилає пароль, отриманий від користувача, не уникаючи спеціальних символів.
У сховищі git, ця функція є посиланням на модуль Crypt :: UnixCrypt і це не небезпечно, але у файлі sourceforge, що надається разом із кодом, називається код, який безпосередньо звертається до / etc / shadow, але робить це з конструкцією оболонки.
Для атаки просто вкажіть символ «|» у полі зі старим паролем і наступний код буде запускатися з правами root на сервері.
Відповідно до заяви розробників Webmin, шкідливий код замінював в результаті компрометації інфраструктури проекту.
Деталі ще не оголошені, тож незрозуміло, чи злом обмежився взяттям контролю над обліковим записом у Sourceforge чи це вплинуло на інші елементи інфраструктури збірки та розробки Webmin.
Проблема також вплинула на збірки Usermin. В даний час усі завантажувальні файли відновлені з Git.