Im Paket , das Mittel für die Fernverwaltung des Servers bereitstellt, Backdoor (), entdeckt in den offiziellen Builds des Projekts, auf der Hauptseite empfohlen sind. Die Backdoor war in den Builds von 1.882 bis 1.921 enthalten (im Git-Repository war der Code mit der Backdoor nicht vorhanden) und erlaubte es, ohne Authentifizierung willkürliche Shell-Befehle mit Root-Rechten im System auszuführen. auf der Hauptseite. Der Backdoor war in den Builds von 1.882 bis einschließlich 1.921 vorhanden (im git-Repository war der Code mit dem Backdoor nicht vorhanden) und ermöglichte es, ohne Authentifizierung beliebige Shell-Befehle im System mit Root-Rechten auszuführen.
Für den Angriff genügt das Vorhandensein eines offenen Netzwerkports mit Webmin und Aktivität im Web-Interface der Funktion zum Ändern des veralteten Passwortes (standardmäßig in den Builds 1.890 aktiviert, in anderen Versionen jedoch deaktiviert). Das Problem in 1.930. Als vorübergehende Maßnahme zur Blockierung der Backdoor genügt es, die Einstellung „passwd_mode=“ aus der Konfigurationsdatei /etc/webmin/miniserv.conf zu entfernen. Für Tests wurde ein .
Das Problem war im Skript password_change.cgi, in dem zur Überprüfung des in das Web-Formular eingegebenen alten Passworts die Funktion unix_crypt verwendet wird, der das vom Benutzer eingegebene Passwort ohne Escape von Sonderzeichen übergeben wird. Im Git-Repository ist diese Funktion Die Integration über das Modul Crypt::UnixCrypt ist nicht gefährlich, jedoch wird im bereitgestellten Quellcode-Archiv auf Sourceforge ein Code aufgerufen, der direkt auf /etc/shadow zugreift, und dies geschieht durch eine Shell-Konstruktion. Für einen Angriff reicht es, im Feld für das alte Passwort das Zeichen „|“ anzugeben, und der nachfolgende Code wird mit Root-Rechten auf dem Server ausgeführt.
Nach Laut den Entwicklern von Webmin wurde der schädliche Code aufgrund einer Kompromittierung der Projektinfrastruktur eingefügt. Einzelheiten werden derzeit nicht bekannt gegeben, weshalb unklar ist, ob der Hack nur den Zugriff auf das Konto bei Sourceforge betraf oder auch andere Elemente der Entwicklungs- und Build-Infrastruktur von Webmin betroffen sind. Der schädliche Code war seit März 2018 in den Archiven vorhanden. Das Problem betraf ebenfalls . Momentan wurden alle Boot-Archive aus Git neu aufgebaut.
Quelle: opennet.ru
