V balení , která poskytuje nástroje pro vzdálenou správu serverů, zadní dveře (), které najdete v oficiálních sestaveních projektu, přes Sourceforge a na hlavním webu. Zadní vrátka byla přítomna v sestaveních od 1.882 do 1.921 včetně (v úložišti git nebyl žádný kód se zadními vrátky) a umožňovala vzdálené provádění libovolných příkazů shellu bez autentizace v systému s právy root.
K útoku stačí mít otevřený síťový port s Webminem a ve webovém rozhraní aktivovat funkci pro změnu zastaralých hesel (ve sestavení 1.890 ve výchozím nastavení povolena, v ostatních verzích vypnutá). Problém в 1.930. Jako dočasné opatření k zablokování zadních vrátek jednoduše odstraňte nastavení „passwd_mode=“ z konfiguračního souboru /etc/webmin/miniserv.conf. Připraveno k testování .
Problém byl ve skriptu password_change.cgi, ve kterém zkontrolujete staré heslo zadané ve webovém formuláři funkce unix_crypt, do které je předáno heslo přijaté od uživatele, aniž by unikly speciální znaky. V úložišti git tato funkce obalený kolem modulu Crypt::UnixCrypt a není nebezpečný, ale archiv kódu poskytovaný na webu Sourceforge volá kód, který přímo přistupuje k /etc/shadow, ale dělá to pomocí konstrukce shellu. K útoku stačí zadat symbol „|“ do pole se starým heslem. a následující kód poté, co bude spuštěn s právy root na serveru.
Na Vývojáři Webmin, škodlivý kód byl vložen v důsledku ohrožení infrastruktury projektu. Podrobnosti zatím nebyly poskytnuty, takže není jasné, zda se hack omezil na převzetí kontroly nad účtem Sourceforge nebo ovlivnil další prvky infrastruktury vývoje a budování Webminu. Škodlivý kód je v archivech přítomen od března 2018. Problém se také dotkl . V současné době jsou všechny archivy stahování přestavěny z Git.
Zdroj: opennet.ru