I pakken , som gir verktøy for ekstern serveradministrasjon, bakdør (), funnet i de offisielle prosjektbyggene, via Sourceforge og på hovedsiden. Bakdøren var til stede i builds fra 1.882 til 1.921 inklusive (det var ingen kode med bakdøren i git-depotet) og tillot at vilkårlige skallkommandoer kan utføres eksternt uten autentisering på et system med rotrettigheter.
For et angrep er det nok å ha en åpen nettverksport med Webmin og aktivere funksjonen for å endre utdaterte passord i nettgrensesnittet (aktivert som standard i builds 1.890, men deaktivert i andre versjoner). Problem в 1.930. Som et midlertidig tiltak for å blokkere bakdøren, fjern ganske enkelt "passwd_mode="-innstillingen fra /etc/webmin/miniserv.conf-konfigurasjonsfilen. Forberedt for testing .
Problemet var i password_change.cgi-skriptet, der du kan sjekke det gamle passordet som er angitt i nettskjemaet unix_crypt-funksjonen, som passordet mottatt fra brukeren sendes til uten å unnslippe spesialtegn. I git-depotet har denne funksjonen pakket rundt Crypt::UnixCrypt-modulen og er ikke farlig, men kodearkivet på Sourceforge-nettstedet kaller kode som har direkte tilgang til /etc/shadow, men gjør dette ved å bruke en skallkonstruksjon. For å angripe, skriv bare inn symbolet «|» i feltet med det gamle passordet. og følgende kode etter den vil bli utført med rotrettigheter på serveren.
På Webmin-utviklere, den skadelige koden ble satt inn som et resultat av at prosjektets infrastruktur ble kompromittert. Detaljer er ennå ikke gitt, så det er ikke klart om hacket var begrenset til å ta kontroll over Sourceforge-kontoen eller påvirket andre elementer i Webmin-utviklingen og byggeinfrastrukturen. Den ondsinnede koden har vært til stede i arkivene siden mars 2018. Problemet påvirket også . For øyeblikket er alle nedlastingsarkiver gjenoppbygd fra Git.
Kilde: opennet.ru