In Webmin wurde ein Backdoor entdeckt, das einen remote Zugriff mit Root-Rechten ermöglicht.

Im Paket Webmin, das Mittel für die Fernverwaltung des Servers bereitstellt, wurde festgestellt Backdoor (CVE-2019-15107), entdeckt in den offiziellen Builds des Projekts, die über Sourceforge verteilt werden und auf der Hauptseite empfohlen sind. Die Backdoor war in den Builds von 1.882 bis 1.921 enthalten (im Git-Repository war der Code mit der Backdoor nicht vorhanden) und erlaubte es, ohne Authentifizierung willkürliche Shell-Befehle mit Root-Rechten im System auszuführen. empfohlenen auf der Hauptseite. Der Backdoor war in den Builds von 1.882 bis einschließlich 1.921 vorhanden (im git-Repository war der Code mit dem Backdoor nicht vorhanden) und ermöglichte es, ohne Authentifizierung beliebige Shell-Befehle im System mit Root-Rechten auszuführen.

Für den Angriff genügt das Vorhandensein eines offenen Netzwerkports mit Webmin und Aktivität im Web-Interface der Funktion zum Ändern des veralteten Passwortes (standardmäßig in den Builds 1.890 aktiviert, in anderen Versionen jedoch deaktiviert). Das Problem die Schwachstelle in der Android-Plattform wurde eine kritische 1.930. Als vorübergehende Maßnahme zur Blockierung der Backdoor genügt es, die Einstellung „passwd_mode=“ aus der Konfigurationsdatei /etc/webmin/miniserv.conf zu entfernen. Für Tests wurde ein Prototyp des Exploits vorbereitet..

Das Problem war wurde erkannt im Skript password_change.cgi, in dem zur Überprüfung des in das Web-Formular eingegebenen alten Passworts genutzt. die Funktion unix_crypt verwendet wird, der das vom Benutzer eingegebene Passwort ohne Escape von Sonderzeichen übergeben wird. Im Git-Repository ist diese Funktion ist Die Integration über das Modul Crypt::UnixCrypt ist nicht gefährlich, jedoch wird im bereitgestellten Quellcode-Archiv auf Sourceforge ein Code aufgerufen, der direkt auf /etc/shadow zugreift, und dies geschieht durch eine Shell-Konstruktion. Für einen Angriff reicht es, im Feld für das alte Passwort das Zeichen „|“ anzugeben, und der nachfolgende Code wird mit Root-Rechten auf dem Server ausgeführt.

Nach Erklärung Laut den Entwicklern von Webmin wurde der schädliche Code aufgrund einer Kompromittierung der Projektinfrastruktur eingefügt. Einzelheiten werden derzeit nicht bekannt gegeben, weshalb unklar ist, ob der Hack nur den Zugriff auf das Konto bei Sourceforge betraf oder auch andere Elemente der Entwicklungs- und Build-Infrastruktur von Webmin betroffen sind. Der schädliche Code war seit März 2018 in den Archiven vorhanden. Das Problem betraf ebenfalls die Usermin-Bauten. Momentan wurden alle Boot-Archive aus Git neu aufgebaut.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster