Paketissa , joka tarjoaa työkaluja etäpalvelimen hallintaan, takaovi (), löytyy virallisista projektin rakennuksista, kautta Sourceforge ja pääsivustolla. Takaovi oli mukana koontiversioissa 1.882–1.921 (git-varastossa ei ollut takaovella varustettua koodia) ja se salli mielivaltaisten komentotulkkikomentojen suorittamisen etäyhteydellä ilman todennusta järjestelmässä, jolla on pääkäyttäjän oikeudet.
Hyökkäykseen riittää, että verkkoportti on avoin Webminin kanssa ja verkkoliittymän vanhentuneiden salasanojen vaihtotoiminto aktivoituu (oletusarvoisesti käytössä versioissa 1.890, mutta ei muissa versioissa). Ongelma в 1.930. Väliaikaisena toimenpiteenä takaoven estämiseksi poista "passwd_mode="-asetus /etc/webmin/miniserv.conf-määritystiedostosta. Valmistettu testaukseen .
Ongelma oli Password_change.cgi-skriptissä, jossa tarkistetaan verkkolomakkeeseen syötetty vanha salasana unix_crypt-funktio, johon käyttäjältä saatu salasana välitetään ilman erikoismerkkejä. Git-arkistossa tämä toiminto kääritty Crypt::UnixCrypt-moduulin ympärille, eikä se ole vaarallinen, mutta Sourceforgen verkkosivustolla oleva koodiarkisto kutsuu koodia, joka käyttää suoraan tiedostoa /etc/shadow, mutta tekee tämän käyttämällä komentotulkkirakennetta. Hyökätäksesi syötä symboli “|” kenttään vanhalla salasanalla. ja seuraava koodi sen jälkeen suoritetaan pääkäyttäjän oikeuksin palvelimella.
Päälle Webmin-kehittäjät, haitallinen koodi lisättiin projektin infrastruktuurin vaarantumisen seurauksena. Yksityiskohtia ei ole vielä toimitettu, joten ei ole selvää, rajoittuiko hakkerointi Sourceforge-tilin hallintaan vai vaikuttiko se muihin Webminin kehitys- ja rakennusinfrastruktuurin osiin. Haitallinen koodi on ollut arkistoissa maaliskuusta 2018 lähtien. Ongelma vaikutti myös . Tällä hetkellä kaikki latausarkistot rakennetaan uudelleen Gitistä.
Lähde: opennet.ru