في الحزمة ، والذي يوفر أدوات لإدارة الخادم عن بعد، الباب الخلفي ()، الموجود في بنيات المشروع الرسمية، عبر Sourceforge و على الموقع الرئيسي. كان الباب الخلفي موجودًا في الإصدارات من 1.882 إلى 1.921 (لم يكن هناك رمز مع الباب الخلفي في مستودع git) وسمح بتنفيذ أوامر الصدفة العشوائية عن بُعد دون المصادقة على نظام يتمتع بحقوق الجذر.
بالنسبة للهجوم، يكفي أن يكون لديك منفذ شبكة مفتوح مع Webmin وتنشيط وظيفة تغيير كلمات المرور القديمة في واجهة الويب (ممكّنة افتراضيًا في الإصدارات 1.890، ولكن معطلة في الإصدارات الأخرى). مشكلة в 1.930. كإجراء مؤقت لحظر الباب الخلفي، ما عليك سوى إزالة الإعداد "passwd_mode=" من ملف التكوين /etc/webmin/miniserv.conf. على استعداد للاختبار .
المشكلة كانت في البرنامج النصيpassword_change.cgi، والذي يمكنك من خلاله التحقق من كلمة المرور القديمة التي تم إدخالها في نموذج الويب وظيفة unix_crypt، التي يتم تمرير كلمة المرور المستلمة من المستخدم إليها دون الهروب من الأحرف الخاصة. في مستودع git هذه الوظيفة ملفوف حول وحدة Crypt::UnixCrypt وهو ليس خطيرًا، لكن أرشيف التعليمات البرمجية المتوفر على موقع Sourceforge يستدعي التعليمات البرمجية التي تصل مباشرة إلى /etc/shadow، ولكنها تفعل ذلك باستخدام بنية Shell. للهجوم، ما عليك سوى إدخال الرمز "|" في الحقل الذي يحتوي على كلمة المرور القديمة. وسيتم تنفيذ التعليمة البرمجية التالية بعد ذلك باستخدام حقوق الجذر على الخادم.
في بالنسبة لمطوري Webmin، تم إدخال التعليمات البرمجية الضارة نتيجة لاختراق البنية التحتية للمشروع. لم يتم تقديم التفاصيل بعد، لذلك ليس من الواضح ما إذا كان الاختراق يقتصر على السيطرة على حساب Sourceforge أو أثر على عناصر أخرى من تطوير Webmin وبناء البنية التحتية. الكود الخبيث موجود في الأرشيف منذ مارس 2018. المشكلة أثرت أيضا . حاليًا، تتم إعادة إنشاء جميع أرشيفات التنزيل من Git.
المصدر: opennet.ru