ProHoster > blog > internetnieuws > Er is een achterdeur gevonden in Webmin die externe toegang met rootrechten mogelijk maakt.

Er is een achterdeur gevonden in Webmin die externe toegang met rootrechten mogelijk maakt.

In het pakket Webmin, dat tools biedt voor serverbeheer op afstand, geïdentificeerd achterdeur (CVE-2019-15107), gevonden in de officiële projectbuilds, gedistribueerd via Sourceforge en aanbevolen op de hoofdsite. De achterdeur was aanwezig in builds van 1.882 tot en met 1.921 (er was geen code met de achterdeur in de git-repository) en maakte het mogelijk dat willekeurige shell-opdrachten op afstand konden worden uitgevoerd zonder authenticatie op een systeem met rootrechten.

Voor een aanval is het voldoende om een ​​open netwerkpoort met Webmin te hebben en de functie voor het wijzigen van verouderde wachtwoorden in de webinterface te activeren (standaard ingeschakeld in builds 1.890, maar uitgeschakeld in andere versies). Probleem geëlimineerd в -update 1.930. Als tijdelijke maatregel om de achterdeur te blokkeren, verwijdert u eenvoudigweg de instelling “passwd_mode=” uit het configuratiebestand /etc/webmin/miniserv.conf. Klaar voor testen prototype exploiteren.

Het probleem was ontdekt in het wachtwoord_change.cgi-script, waarin u het oude wachtwoord kunt controleren dat in het webformulier is ingevoerd gebruikt de unix_crypt-functie, waaraan het van de gebruiker ontvangen wachtwoord wordt doorgegeven zonder speciale tekens te ontsnappen. In de git repository deze functie is gewikkeld rond de Crypt::UnixCrypt-module en is niet gevaarlijk, maar het codearchief op de Sourceforge-website roept code aan die rechtstreeks toegang heeft tot /etc/shadow, maar doet dit met behulp van een shell-constructie. Om aan te vallen, typt u gewoon het symbool “|” in het veld met het oude wachtwoord. en de volgende code nadat deze met rootrechten op de server wordt uitgevoerd.

Op toepassing Webmin-ontwikkelaars werd de kwaadaardige code ingevoegd omdat de infrastructuur van het project in gevaar kwam. Er zijn nog geen details verstrekt, dus het is niet duidelijk of de hack beperkt was tot het overnemen van de controle over het Sourceforge-account of andere elementen van de Webmin-ontwikkelings- en bouwinfrastructuur beïnvloedde. De kwaadaardige code is sinds maart 2018 in de archieven aanwezig. Het probleem heeft ook gevolgen gehad Usermin bouwt. Momenteel worden alle downloadarchieven opnieuw opgebouwd vanuit Git.

Bron: opennet.ru

Voeg een reactie