Nel pacchetto , che fornisce strumenti per la gestione remota del server, porta sul retro (), che si trova nelle build ufficiali del progetto, tramite Sourceforge e sul sito principale. La backdoor era presente nelle build dalla 1.882 alla 1.921 inclusa (non c'era codice con la backdoor nel repository git) e consentiva l'esecuzione remota di comandi shell arbitrari senza autenticazione su un sistema con diritti di root.
Per un attacco è sufficiente avere una porta di rete aperta con Webmin e attivare la funzione di modifica delle password obsolete nell'interfaccia web (abilitata di default nella build 1.890, ma disabilitata nelle altre versioni). Problema в 1.930. Come misura temporanea per bloccare la backdoor, è sufficiente rimuovere l'impostazione “passwd_mode=" dal file di configurazione /etc/webmin/miniserv.conf. Preparato per il test .
Il problema era nello script password_change.cgi, in cui verificare la vecchia password inserita nel modulo web la funzione unix_crypt, alla quale viene passata la password ricevuta dall'utente senza caratteri speciali di escape. Nel repository git questa funzione avvolto attorno al modulo Crypt::UnixCrypt e non è pericoloso, ma l'archivio di codice fornito sul sito Web di Sourceforge richiama il codice che accede direttamente a /etc/shadow, ma lo fa utilizzando un costrutto di shell. Per attaccare basta inserire il simbolo “|” nel campo con la vecchia password. e il codice seguente verrà eseguito con i diritti di root sul server.
Su Sviluppatori Webmin, il codice dannoso è stato inserito a seguito della compromissione dell’infrastruttura del progetto. I dettagli non sono stati ancora forniti, quindi non è chiaro se l'hacking si sia limitato a prendere il controllo dell'account Sourceforge o abbia interessato altri elementi dell'infrastruttura di sviluppo e costruzione di Webmin. Il codice dannoso è presente negli archivi da marzo 2018. Anche il problema ha interessato . Attualmente, tutti gli archivi di download vengono ricostruiti da Git.
Fonte: opennet.ru