U paketu , koji pruža alate za udaljeno upravljanje poslužiteljem, stražnja vrata (), koji se nalazi u službenim verzijama projekta, putem Sourceforgea i na glavnoj stranici. Stražnja vrata bila su prisutna u verzijama od 1.882 do uključivo 1.921 (nije bilo koda sa stražnjim vratima u repozitoriju git) i dopuštala su proizvoljne naredbe ljuske da se izvršavaju na daljinu bez provjere autentičnosti na sustavu s root pravima.
Za napad je dovoljno imati otvoren mrežni port s Webminom i aktivirati funkciju za promjenu zastarjelih lozinki u web sučelju (omogućena prema zadanim postavkama u buildovima 1.890, ali onemogućena u ostalim verzijama). Problem в 1.930. Kao privremenu mjeru za blokiranje stražnjih vrata, jednostavno uklonite postavku “passwd_mode=” iz konfiguracijske datoteke /etc/webmin/miniserv.conf. Pripremljeno za testiranje .
Problem je bio u skripti password_change.cgi, u kojoj se provjerava stara lozinka unesena u web obrazac funkcija unix_crypt, kojoj se lozinka primljena od korisnika prosljeđuje bez izbjegavanja posebnih znakova. U repozitoriju git ova funkcija omotan oko modula Crypt::UnixCrypt i nije opasan, ali arhiva koda dostupna na web stranici Sourceforge poziva kod koji izravno pristupa /etc/shadow, ali to radi pomoću konstrukcije ljuske. Za napad samo unesite simbol “|” u polje sa starom lozinkom. a sljedeći kod nakon njega će se izvršiti s root pravima na poslužitelju.
Na Webmin programeri, zlonamjerni kod je umetnut kao rezultat kompromitacije infrastrukture projekta. Pojedinosti još nisu dane, tako da nije jasno je li hakiranje bilo ograničeno na preuzimanje kontrole nad Sourceforge računom ili je utjecalo na druge elemente Webmin razvojne i građevne infrastrukture. Zlonamjerni kod je prisutan u arhivama od ožujka 2018. Problem je također utjecao . Trenutačno su sve arhive za preuzimanje ponovno izgrađene iz Gita.
Izvor: opennet.ru