U paketu , koji pruža alate za daljinsko upravljanje serverom, stražnja vrata (), koji se nalazi u službenim projektima, preko Sourceforgea i na glavnom sajtu. Backdoor je bio prisutan u verzijama od 1.882 do 1.921 uključujući (nije postojao kod sa backdoor-om u git repozitorijumu) i dozvoljavao je da se proizvoljne komande ljuske izvršavaju na daljinu bez autentifikacije na sistemu sa root pravima.
Za napad je dovoljno imati otvoren mrežni port sa Webmin-om i aktivirati funkciju za promjenu zastarjelih lozinki u web interfejsu (podrazumevano omogućeno u build-ovima 1.890, ali onemogućeno u drugim verzijama). Problem в 1.930. Kao privremena mjera za blokiranje backdoor-a, jednostavno uklonite postavku “passwd_mode=” iz /etc/webmin/miniserv.conf konfiguracijske datoteke. Pripremljeno za testiranje .
Problem je bio u skripti password_change.cgi, u kojoj se provjerava stara lozinka unesena u web obrazac funkcija unix_crypt, kojoj se lozinka primljena od korisnika prosljeđuje bez izbjegavanja posebnih znakova. U git spremištu ova funkcija omotan oko modula Crypt::UnixCrypt i nije opasan, ali arhiva koda koja se nalazi na Sourceforge web stranici poziva kod koji direktno pristupa /etc/shadow, ali to radi pomoću konstrukcije ljuske. Za napad, samo unesite simbol “|” u polje sa starom lozinkom. i sljedeći kod nakon njega će se izvršiti s root pravima na serveru.
By Webmin programeri, zlonamjerni kod je umetnut kao rezultat kompromitovanja infrastrukture projekta. Detalji još nisu dati, tako da nije jasno da li je hakiranje bilo ograničeno na preuzimanje kontrole nad Sourceforge nalogom ili je uticalo na druge elemente infrastrukture razvoja i izgradnje Webmina. Zlonamjerni kod je prisutan u arhivi od marta 2018. godine. Problem je takođe uticao . Trenutno su sve arhive za preuzimanje obnovljene iz Gita.
izvor: opennet.ru