ProHoster > Bloc > notícies d'internet > S'ha trobat una porta posterior a Webmin que permet l'accés arrel remot

S'ha trobat una porta posterior a Webmin que permet l'accés arrel remot

Al paquet Webmin, que proporciona eines per a la gestió remota del servidor, identificat porta del darrere (CVE-2019-15107), que es troba a les versions oficials del projecte, distribuïts a través de Sourceforge i recomanat al lloc principal. La porta del darrere estava present a les versions de l'1.882 a la 1.921 incloses (no hi havia codi amb la porta del darrere al repositori git) i permetia executar ordres arbitràries de l'intèrpret d'ordres de forma remota sense autenticació en un sistema amb drets d'arrel.

Per a un atac, n'hi ha prou amb tenir un port de xarxa obert amb Webmin i activar la funció de canvi de contrasenyes obsoletes a la interfície web (activada per defecte a les versions 1.890, però desactivada en altres versions). Problema eliminat в actualització 1.930. Com a mesura temporal per bloquejar la porta del darrere, simplement elimineu la configuració “passwd_mode=" del fitxer de configuració /etc/webmin/miniserv.conf. Preparat per a la prova explotar el prototip.

El problema era descobert a l'script password_change.cgi, per comprovar la contrasenya antiga introduïda al formulari web usat la funció unix_crypt, a la qual es passa la contrasenya rebuda de l'usuari sense escapar de caràcters especials. Al repositori git aquesta funció és s'embolica al mòdul Crypt::UnixCrypt i no és perillós, però l'arxiu de codi que es proporciona al lloc web de Sourceforge crida codi que accedeix directament a /etc/shadow, però ho fa mitjançant una construcció de shell. Per atacar, només cal introduir el símbol “|” al camp amb la contrasenya antiga. i el codi següent després s'executarà amb drets d'arrel al servidor.

En declaració Desenvolupadors de Webmin, el codi maliciós es va inserir com a conseqüència de que la infraestructura del projecte es va veure compromesa. Encara no s'han proporcionat els detalls, de manera que no està clar si el pirateig es va limitar a prendre el control del compte de Sourceforge o va afectar altres elements de la infraestructura de desenvolupament i construcció de Webmin. El codi maliciós està present als arxius des del març de 2018. El problema també va afectar Construeix Usermin. Actualment, tots els arxius de baixades es reconstrueixen des de Git.

Font: opennet.ru

Afegeix comentari