Vài ngày trước một phiên bản mới của Webmin đã được phát hành để giảm thiểu một lỗ hổng được xác định là một cửa sau (CVE-2019-15107), được tìm thấy trong các phiên bản chính thức của dự án, được phân phối thông qua Sourceforge.
Cửa hậu được phát hiện có mặt trong các phiên bản từ 1.882 đến 1.921 bao gồm (không có mã có cửa sau trong kho lưu trữ git) và bạn được phép thực thi các lệnh shell tùy ý trên hệ thống có đặc quyền gốc từ xa mà không cần xác thực.
Giới thiệu về Webmin
Đối với những người không biết về Webmin họ nên biết rằng Đây là một bảng điều khiển dựa trên web để điều khiển các hệ thống Linux. Cung cấp giao diện trực quan và dễ sử dụng để quản lý máy chủ của bạn. Các phiên bản gần đây của Webmin cũng có thể được cài đặt và chạy trên hệ thống Windows.
Với Webmin, bạn có thể thay đổi các cài đặt gói phổ biến một cách nhanh chóng, bao gồm máy chủ web và cơ sở dữ liệu, cũng như quản lý người dùng, nhóm và gói phần mềm.
Webmin cho phép người dùng xem các quy trình đang chạy, cũng như thông tin chi tiết về các gói đã cài đặt, quản lý tệp nhật ký hệ thống, chỉnh sửa tệp cấu hình của giao diện mạng, thêm quy tắc tường lửa, định cấu hình múi giờ và đồng hồ hệ thống, thêm máy in thông qua CUPS, liệt kê các mô-đun Perl đã cài đặt, định cấu hình SSH hoặc Máy chủ DHCP và trình quản lý bản ghi miền DNS.
Webmin 1.930 đến để loại bỏ backdoor
Phiên bản mới của Webmin phiên bản 1.930 được phát hành để giải quyết lỗ hổng thực thi mã từ xa. Lỗ hổng này có các mô-đun khai thác có sẵn công khai, như khiến nhiều hệ thống quản lý UNIX ảo gặp rủi ro.
Tư vấn bảo mật chỉ ra rằng phiên bản 1.890 (CVE-2019-15231) dễ bị tấn công trong cấu hình mặc định, trong khi các phiên bản bị ảnh hưởng khác yêu cầu bật tùy chọn "thay đổi mật khẩu người dùng".
Về lỗ hổng
Kẻ tấn công có thể gửi một yêu cầu http độc hại đến trang biểu mẫu yêu cầu đặt lại mật khẩu để chèn mã và tiếp quản ứng dụng web webmin. Theo báo cáo về lỗ hổng, kẻ tấn công không cần tên người dùng hoặc mật khẩu hợp lệ để khai thác lỗ hổng này.
Sự tồn tại của đặc điểm này có nghĩa là đLỗ hổng này có khả năng xuất hiện trong Webmin từ tháng 2018 năm XNUMX.
Một cuộc tấn công yêu cầu sự hiện diện của một cổng mạng mở với Webmin và hoạt động trong giao diện web của chức năng thay đổi mật khẩu lỗi thời (theo mặc định, nó được kích hoạt trong các phiên bản 1.890, nhưng nó bị tắt trong các phiên bản khác).
Sự cố đã được khắc phục trong bản cập nhật 1.930.
Sự cố đã được phát hiện trong tập lệnh password_change.cgi, trong đó hàm unix_crypt được sử dụng để xác minh mật khẩu cũ đã nhập trong biểu mẫu web, hàm này sẽ gửi mật khẩu nhận được từ người dùng mà không thoát các ký tự đặc biệt.
Trong kho lưu trữ git, chức năng này là một liên kết trên mô-đun Crypt :: UnixCrypt và nó không nguy hiểm, nhưng trong tệp sourceforge được cung cấp cùng với mã, một mã được gọi là truy cập trực tiếp / etc / shadow, nhưng làm như vậy với cấu trúc shell.
Để tấn công, chỉ cần chỉ ra biểu tượng «|» trong trường với mật khẩu cũ và đoạn mã sau sẽ chạy với quyền root trên máy chủ.
Theo tuyên bố từ các nhà phát triển Webmin, mã độc đã được thay thế do sự xâm phạm của cơ sở hạ tầng dự án.
Thông tin chi tiết vẫn chưa được công bố, vì vậy không rõ liệu vụ hack chỉ giới hạn ở việc kiểm soát tài khoản tại Sourceforge hay nó ảnh hưởng đến các yếu tố khác của cơ sở hạ tầng lắp ráp và phát triển của Webmin.
Vấn đề này cũng ảnh hưởng đến các bản dựng của Usermin. Hiện tại tất cả các tệp khởi động đều được xây dựng lại từ Git.