I pakken , som giver værktøjer til fjernserverstyring, bagdør (), fundet i de officielle projektbyggerier, via Sourceforge og på hovedsiden. Bagdøren var til stede i builds fra 1.882 til 1.921 inklusive (der var ingen kode med bagdøren i git-lageret) og tillod vilkårlige shell-kommandoer at blive udført eksternt uden godkendelse på et system med root-rettigheder.
For et angreb er det nok at have en åben netværksport med Webmin og aktivere funktionen til at ændre forældede adgangskoder i webgrænsefladen (aktiveret som standard i builds 1.890, men deaktiveret i andre versioner). Problem в 1.930. Som en midlertidig foranstaltning til at blokere bagdøren, skal du blot fjerne "passwd_mode="-indstillingen fra /etc/webmin/miniserv.conf-konfigurationsfilen. Forberedt til test .
Problemet var i password_change.cgi-scriptet, hvor du kan kontrollere den gamle adgangskode, der er indtastet i webformularen unix_crypt-funktionen, som adgangskoden modtaget fra brugeren videregives til uden at undslippe specialtegn. I git-lageret er denne funktion pakket rundt om Crypt::UnixCrypt-modulet og er ikke farligt, men kodearkivet på Sourceforge-webstedet kalder kode, der direkte tilgår /etc/shadow, men gør dette ved hjælp af en shell-konstruktion. For at angribe skal du blot indtaste symbolet "|" i feltet med det gamle kodeord. og følgende kode efter den vil blive udført med root-rettigheder på serveren.
On Webmin-udviklere, den ondsindede kode blev indsat som følge af, at projektets infrastruktur blev kompromitteret. Detaljer er endnu ikke blevet givet, så det er ikke klart, om hacket var begrænset til at tage kontrol over Sourceforge-kontoen eller påvirkede andre elementer i Webmin-udviklingen og opbygningsinfrastrukturen. Den ondsindede kode har været til stede i arkiverne siden marts 2018. Problemet ramte også . I øjeblikket er alle download-arkiver genopbygget fra Git.
Kilde: opennet.ru