No paquete , que proporciona ferramentas para a xestión remota de servidores, porta traseira (), que se atopan nas compilacións oficiais do proxecto, a través de Sourceforge e no sitio principal. A porta traseira estaba presente nas compilacións de 1.882 a 1.921 inclusive (non había código coa porta traseira no repositorio de git) e permitía executar comandos de shell arbitrarios de forma remota sen autenticación nun sistema con dereitos de root.
Para un ataque, abonda con ter un porto de rede aberto con Webmin e activar a función de cambio de contrasinais desactualizados na interface web (activada por defecto nas compilacións 1.890, pero desactivada noutras versións). Problema в 1.930. Como medida temporal para bloquear a porta traseira, simplemente elimine a configuración "passwd_mode=" do ficheiro de configuración /etc/webmin/miniserv.conf. Preparado para probar .
O problema era no script password_change.cgi, no que comprobar o contrasinal antigo introducido no formulario web a función unix_crypt, á que se lle pasa o contrasinal recibido do usuario sen escapar de caracteres especiais. No repositorio git esta función envolve o módulo Crypt::UnixCrypt e non é perigoso, pero o arquivo de código proporcionado no sitio web de Sourceforge chama código que accede directamente a /etc/shadow, pero faino mediante unha construción de shell. Para atacar, basta con introducir o símbolo “|” no campo co contrasinal antigo. e o seguinte código despois executarase con dereitos de root no servidor.
En Os desenvolvedores de Webmin, o código malicioso foi inserido como resultado da infraestrutura do proxecto comprometida. Aínda non se proporcionaron detalles, polo que non está claro se o pirateo limitouse a tomar o control da conta de Sourceforge ou afectou a outros elementos da infraestrutura de desenvolvemento e construción de Webmin. O código malicioso está presente nos arquivos desde marzo de 2018. O problema tamén afectou . Actualmente, todos os arquivos de descarga reconstruíronse desde Git.
Fonte: opennet.ru