În pachet , care oferă instrumente pentru managementul serverului de la distanță, ușa din spate (), găsite în versiunile oficiale ale proiectului, prin Sourceforge și pe site-ul principal. Backdoor-ul a fost prezent în versiunile de la 1.882 la 1.921 inclusiv (nu exista niciun cod cu backdoor în depozitul git) și permitea executarea de la distanță a comenzilor shell arbitrare fără autentificare pe un sistem cu drepturi root.
Pentru un atac, este suficient să aveți un port de rețea deschis cu Webmin și să activați funcția de schimbare a parolelor învechite în interfața web (activată implicit în build-urile 1.890, dar dezactivată în alte versiuni). Problemă в 1.930. Ca măsură temporară pentru a bloca ușa din spate, eliminați pur și simplu setarea „passwd_mode=" din fișierul de configurare /etc/webmin/miniserv.conf. Pregătit pentru testare .
Problema era în scriptul password_change.cgi, în care să verificați vechea parolă introdusă în formularul web funcția unix_crypt, căreia i se transmite parola primită de la utilizator fără a scăpa caractere speciale. În depozitul git această funcție înfășurat în jurul modulului Crypt::UnixCrypt și nu este periculos, dar arhiva de cod furnizată pe site-ul Sourceforge apelează cod care accesează direct /etc/shadow, dar face acest lucru folosind o construcție shell. Pentru a ataca, trebuie doar să introduceți simbolul „|” în câmpul cu vechea parolă. iar următorul cod după ce va fi executat cu drepturi root pe server.
Pe Dezvoltatorii Webmin, codul rău intenționat a fost inserat ca urmare a compromiterii infrastructurii proiectului. Detaliile nu au fost încă furnizate, așa că nu este clar dacă hack-ul s-a limitat la preluarea controlului asupra contului Sourceforge sau a afectat alte elemente ale infrastructurii de dezvoltare și construire Webmin. Codul rău intenționat este prezent în arhive din martie 2018. A afectat și problema . În prezent, toate arhivele de descărcare sunt reconstruite din Git.
Sursa: opennet.ru