ProHoster > Blog > actualités internet > Une porte dérobée a été trouvée dans Webmin qui permet un accès à distance avec les droits root.

Une porte dérobée a été trouvée dans Webmin qui permet un accès à distance avec les droits root.

Dans le paquet Webmin, qui fournit des outils de gestion de serveurs distants, identifié porte arrière (CVE-2019-15107), trouvé dans les versions officielles du projet, distribué via Sourceforge et recommandé sur le site principal. La porte dérobée était présente dans les versions 1.882 à 1.921 incluses (il n'y avait pas de code avec la porte dérobée dans le référentiel git) et permettait d'exécuter des commandes shell arbitraires à distance sans authentification sur un système avec les droits root.

Pour une attaque, il suffit d'avoir un port réseau ouvert avec Webmin et d'activer la fonction de modification des mots de passe obsolètes dans l'interface web (activée par défaut dans les builds 1.890, mais désactivée dans les autres versions). Problème éliminé в mise à jour 1.930. Comme mesure temporaire pour bloquer la porte dérobée, supprimez simplement le paramètre « passwd_mode=" du fichier de configuration /etc/webmin/miniserv.conf. Préparé pour les tests exploiter un prototype.

Le problème était découvert dans le script password_change.cgi, dans lequel vérifier l'ancien mot de passe saisi dans le formulaire Web d'occasion la fonction unix_crypt, à laquelle le mot de passe reçu de l'utilisateur est transmis sans caractères spéciaux d'échappement. Dans le dépôt git, cette fonction il est enroulé autour du module Crypt::UnixCrypt et n'est pas dangereux, mais l'archive de code fournie sur le site Web Sourceforge appelle du code qui accède directement à /etc/shadow, mais le fait en utilisant une construction shell. Pour attaquer, il suffit de préciser le symbole « | » dans le champ avec l'ancien mot de passe. et le code suivant sera exécuté avec les droits root sur le serveur.

Sur déclaration Développeurs Webmin, le code malveillant a été inséré à la suite de la compromission de l’infrastructure du projet. Les détails n'ont pas encore été fournis, il n'est donc pas clair si le piratage s'est limité à prendre le contrôle du compte Sourceforge ou s'il a affecté d'autres éléments de l'infrastructure de développement et de construction de Webmin. Le code malveillant est présent dans les archives depuis mars 2018. Le problème a également affecté Constructions Usermin. Actuellement, toutes les archives de téléchargement sont reconstruites à partir de Git.

Source: opennet.ru

Ajouter un commentaire