No pacote , que fornece ferramentas para gerenciamento remoto de servidores, porta dos fundos (), encontrado nas compilações oficiais do projeto, via Sourceforge e no site principal. O backdoor estava presente em compilações de 1.882 a 1.921 inclusive (não havia código com backdoor no repositório git) e permitia que comandos shell arbitrários fossem executados remotamente sem autenticação em um sistema com direitos de root.
Para um ataque, basta ter uma porta de rede aberta com Webmin e ativar a função de alteração de senhas desatualizadas na interface web (habilitada por padrão nas builds 1.890, mas desabilitada nas demais versões). Problema в 1.930. Como medida temporária para bloquear o backdoor, simplesmente remova a configuração “passwd_mode=” do arquivo de configuração /etc/webmin/miniserv.conf. Preparado para testes .
O problema era no script password_change.cgi, para verificar a senha antiga inserida no formulário web a função unix_crypt, para a qual a senha recebida do usuário é passada sem escapar de caracteres especiais. No repositório git esta função envolvido no módulo Crypt::UnixCrypt e não é perigoso, mas o arquivo de código fornecido no site Sourceforge chama código que acessa diretamente /etc/shadow, mas faz isso usando uma construção de shell. Para atacar, basta digitar o símbolo “|” no campo com a senha antiga. e o código a seguir será executado com direitos de root no servidor.
Em Desenvolvedores do Webmin, o código malicioso foi inserido como resultado do comprometimento da infraestrutura do projeto. Os detalhes ainda não foram fornecidos, portanto não está claro se o hack se limitou a assumir o controle da conta do Sourceforge ou afetou outros elementos do desenvolvimento do Webmin e da infraestrutura de construção. O código malicioso está presente nos arquivos desde março de 2018. O problema também afetou . Atualmente, todos os arquivos de download são reconstruídos a partir do Git.
Fonte: opennet.ru