در بسته ، که ابزارهایی برای مدیریت سرور از راه دور فراهم می کند، درپشتی ()، در بیلدهای رسمی پروژه، از طریق Sourceforge و در سایت اصلی درب پشتی در بیلدهای 1.882 تا 1.921 وجود داشت (هیچ کدی با درب پشتی در مخزن git وجود نداشت) و اجازه می داد دستورات پوسته دلخواه از راه دور بدون احراز هویت در سیستمی با حقوق ریشه اجرا شوند.
برای حمله کافی است یک پورت شبکه باز با Webmin داشته باشید و عملکرد تغییر رمزهای قدیمی را در رابط وب فعال کنید (به طور پیش فرض در بیلدهای 1.890 فعال است، اما در نسخه های دیگر غیرفعال است). مسئله в 1.930. به عنوان یک اقدام موقت برای مسدود کردن درب پشتی، به سادگی تنظیمات "passwd_mode=" را از فایل پیکربندی /etc/webmin/miniserv.conf حذف کنید. برای آزمایش آماده شده است .
مشکل این بود در اسکریپت password_change.cgi، که در آن رمز عبور قدیمی وارد شده در فرم وب را بررسی کنید تابع unix_crypt که رمز دریافت شده از کاربر بدون فرار از کاراکترهای خاص به آن منتقل می شود. در مخزن git این تابع در اطراف ماژول Crypt::UnixCrypt پیچیده شده است و خطرناک نیست، اما آرشیو کد ارائه شده در وب سایت Sourceforge کدی را فراخوانی می کند که مستقیماً به /etc/shadow دسترسی دارد، اما این کار را با استفاده از ساختار پوسته انجام می دهد. برای حمله، فقط علامت "|" را در فیلد با رمز عبور قدیمی وارد کنید. و کد زیر بعد از آن با حقوق ریشه روی سرور اجرا می شود.
بر توسعه دهندگان وبمین، کد مخرب در نتیجه به خطر افتادن زیرساخت پروژه درج شده است. جزئیات هنوز ارائه نشده است، بنابراین مشخص نیست که آیا هک به کنترل حساب Sourceforge محدود شده است یا بر سایر عناصر توسعه و ساخت وبمین تأثیر گذاشته است. کد مخرب از مارس 2018 در بایگانی موجود است. مشکل هم تاثیر گذاشت . در حال حاضر، تمام آرشیوهای دانلود از Git بازسازی شده اند.
منبع: opennet.ru