Iepakojumā , kas nodrošina attālās servera pārvaldības rīkus, sētas durvis (), kas atrodami oficiālajās projekta būvēs, izmantojot Sourceforge un galvenajā vietnē. Aizmugures durvis bija būvējumos no 1.882 līdz 1.921 (ieskaitot git repozitorijā nebija koda ar backdoor) un ļāva attālināti izpildīt patvaļīgas čaulas komandas bez autentifikācijas sistēmā ar root tiesībām.
Uzbrukumam pietiek ar atvērtu tīkla portu ar Webmin un aktivizēt novecojušo paroļu maiņas funkciju tīmekļa saskarnē (pēc noklusējuma ir iespējota būvējumos 1.890, bet atspējota citās versijās). Problēma в 1.930. Lai bloķētu aizmugures durvis, vienkārši noņemiet iestatījumu “passwd_mode=” no /etc/webmin/miniserv.conf konfigurācijas faila. Sagatavots testēšanai .
Problēma bija skriptā password_change.cgi, kurā pārbaudīt veco tīmekļa veidlapā ievadīto paroli funkcija unix_crypt, kurai tiek nodota no lietotāja saņemtā parole, neizvairoties no speciālajām rakstzīmēm. Git repozitorijā šī funkcija aptīts ap Crypt::UnixCrypt moduli un nav bīstams, taču Sourceforge vietnē nodrošinātais kodu arhīvs izsauc kodu, kas tieši piekļūst /etc/shadow, taču to dara, izmantojot čaulas konstrukciju. Lai uzbruktu, laukā ar veco paroli vienkārši ievadiet simbolu “|”. un sekojošais kods pēc tā tiks izpildīts ar root tiesībām serverī.
Par Webmin izstrādātāji, ļaunprātīgais kods tika ievietots projekta infrastruktūras kompromitēšanas rezultātā. Sīkāka informācija vēl nav sniegta, tāpēc nav skaidrs, vai uzlaušana aprobežojās ar kontroles pārņemšanu pār Sourceforge kontu vai arī ietekmēja citus Webmin izstrādes un izveides infrastruktūras elementus. Ļaunprātīgais kods arhīvos atrodas kopš 2018. gada marta. Problēma arī skāra . Pašlaik visi lejupielādes arhīvi tiek pārbūvēti no Git.
Avots: opennet.ru