ProHoster > Blog > noticias de internet > Se ha encontrado una puerta trasera en Webmin que permite el acceso remoto con derechos de root.

Se ha encontrado una puerta trasera en Webmin que permite el acceso remoto con derechos de root.

En el paquete webmin, que proporciona herramientas para la gestión remota de servidores, identificado Puerta trasera (CVE-2019-15107), que se encuentra en las compilaciones oficiales del proyecto, repartido vía Sourceforge y recomendado en el sitio principal. La puerta trasera estaba presente en las versiones 1.882 a 1.921 inclusive (no había ningún código con la puerta trasera en el repositorio de git) y permitía ejecutar comandos de shell arbitrarios de forma remota sin autenticación en un sistema con derechos de root.

Para un ataque, basta con tener un puerto de red abierto con Webmin y activar la función para cambiar contraseñas obsoletas en la interfaz web (habilitada de forma predeterminada en la compilación 1.890, pero deshabilitada en otras versiones). Problema eliminado в actualizar 1.930. Como medida temporal para bloquear la puerta trasera, simplemente elimine la configuración “passwd_mode=" del archivo de configuración /etc/webmin/miniserv.conf. Preparado para la prueba explotar prototipo.

El problema era detectado en el script password_change.cgi, en el que comprobar la contraseña anterior introducida en el formulario web utilizado la función unix_crypt, a la que se pasa la contraseña recibida del usuario sin caracteres especiales de escape. En el repositorio de git esta función es envuelto alrededor del módulo Crypt::UnixCrypt y no es peligroso, pero el archivo de código proporcionado en el sitio web de Sourceforge llama al código que accede directamente a /etc/shadow, pero lo hace usando una construcción de shell. Para atacar, simplemente ingrese el símbolo “|” en el campo con la contraseña anterior. y el siguiente código después se ejecutará con derechos de root en el servidor.

En declaración Desarrolladores de Webmin, el código malicioso se insertó como resultado de que la infraestructura del proyecto estuviera comprometida. Aún no se han proporcionado detalles, por lo que no está claro si el hack se limitó a tomar el control de la cuenta de Sourceforge o afectó a otros elementos de la infraestructura de desarrollo y construcción de Webmin. El código malicioso ha estado presente en los archivos desde marzo de 2018. El problema también afectó Construcciones de usuario. Actualmente, todos los archivos descargados se reconstruyen desde Git.

Fuente: opennet.ru

Añadir un comentario