In der Packung , das Tools für die Remote-Serververwaltung bereitstellt, Hintertür (), gefunden in den offiziellen Projekt-Builds, über Sourceforge und auf der Hauptseite. Die Hintertür war in den Builds von 1.882 bis einschließlich 1.921 vorhanden (es gab keinen Code mit der Hintertür im Git-Repository) und ermöglichte die Fernausführung beliebiger Shell-Befehle ohne Authentifizierung auf einem System mit Root-Rechten.
Für einen Angriff reicht es aus, einen offenen Netzwerkport mit Webmin zu haben und die Funktion zum Ändern veralteter Passwörter im Webinterface zu aktivieren (standardmäßig in Builds 1.890 aktiviert, in anderen Versionen jedoch deaktiviert). Problem в 1.930. Als vorübergehende Maßnahme zum Blockieren der Hintertür entfernen Sie einfach die Einstellung „passwd_mode=“ aus der Konfigurationsdatei /etc/webmin/miniserv.conf. Zum Testen vorbereitet .
Das Problem war im Skript „password_change.cgi“, um das im Webformular eingegebene alte Passwort zu überprüfen die Funktion unix_crypt, an die das vom Benutzer erhaltene Passwort ohne Escape-Sonderzeichen übergeben wird. Im Git-Repository diese Funktion Es ist um das Crypt::UnixCrypt-Modul gewickelt und ungefährlich, aber das auf der Sourceforge-Website bereitgestellte Codearchiv ruft Code auf, der direkt auf /etc/shadow zugreift, dies jedoch mithilfe eines Shell-Konstrukts tut. Um anzugreifen, geben Sie einfach das Symbol „|“ in das Feld mit dem alten Passwort ein. und der folgende Code wird anschließend mit Root-Rechten auf dem Server ausgeführt.
Auf Webmin-Entwicklern zufolge wurde der Schadcode eingefügt, weil die Infrastruktur des Projekts kompromittiert wurde. Einzelheiten wurden noch nicht bekannt gegeben, daher ist nicht klar, ob sich der Hack auf die Übernahme der Kontrolle über das Sourceforge-Konto beschränkte oder andere Elemente der Webmin-Entwicklungs- und Build-Infrastruktur betraf. Der Schadcode befindet sich seit März 2018 in den Archiven. Das Problem betrifft auch . Derzeit werden alle Download-Archive von Git neu erstellt.
Source: opennet.ru