Dalam paket , yang menyediakan alat untuk manajemen server jarak jauh, pintu belakang (), ditemukan di proyek resmi yang dibangun, melalui Sourceforge dan di situs utama. Pintu belakang hadir dalam versi 1.882 hingga 1.921 inklusif (tidak ada kode dengan pintu belakang di repositori git) dan memungkinkan perintah shell sewenang-wenang dijalankan dari jarak jauh tanpa otentikasi pada sistem dengan hak root.
Untuk melakukan serangan, cukup membuka port jaringan dengan Webmin dan mengaktifkan fungsi untuk mengubah kata sandi usang di antarmuka web (diaktifkan secara default di build 1.890, tetapi dinonaktifkan di versi lain). Masalah в 1.930. Sebagai tindakan sementara untuk memblokir pintu belakang, cukup hapus pengaturan “passwd_mode=” dari file konfigurasi /etc/webmin/miniserv.conf. Disiapkan untuk pengujian .
Masalahnya adalah dalam skrip password_change.cgi, untuk memeriksa kata sandi lama yang dimasukkan dalam formulir web fungsi unix_crypt, yang mana kata sandi yang diterima dari pengguna diteruskan tanpa keluar dari karakter khusus. Di repositori git fungsi ini melilit modul Crypt::UnixCrypt dan tidak berbahaya, tetapi arsip kode yang disediakan di situs web Sourceforge memanggil kode yang secara langsung mengakses /etc/shadow, tetapi melakukannya menggunakan konstruksi shell. Untuk menyerang, cukup masukkan simbol “|” pada kolom dengan password lama. dan kode berikut setelahnya akan dieksekusi dengan hak root di server.
Pada Pengembang Webmin, kode berbahaya dimasukkan karena infrastruktur proyek disusupi. Rinciannya belum diberikan, jadi tidak jelas apakah peretasan tersebut hanya sebatas mengambil kendali akun Sourceforge atau memengaruhi elemen lain dari pengembangan Webmin dan pembangunan infrastruktur. Kode berbahaya tersebut telah ada di arsip sejak Maret 2018. Masalahnya juga terpengaruh . Saat ini, semua arsip unduhan dibuat ulang dari Git.
Sumber: opennet.ru