V balení , ktorá poskytuje nástroje na vzdialenú správu serverov, zadné dvere (), ktorý nájdete v oficiálnych zostavách projektu, cez Sourceforge a na hlavnej stránke. Zadné vrátka boli prítomné v zostavách od 1.882 1.921 do XNUMX XNUMX vrátane (v úložisku git nebol žiadny kód so zadnými vrátkami) a umožňovali vykonávať ľubovoľné príkazy shellu na diaľku bez autentifikácie v systéme s právami root.
Pre útok stačí mať otvorený sieťový port s Webminom a vo webovom rozhraní aktivovať funkciu zmeny zastaraných hesiel (v zostavách 1.890 štandardne povolená, v iných verziách vypnutá). Problém в 1.930. Ako dočasné opatrenie na zablokovanie zadných vrátok jednoducho odstráňte nastavenie „passwd_mode=“ z konfiguračného súboru /etc/webmin/miniserv.conf. Pripravené na testovanie .
Problém bol v skripte password_change.cgi, v ktorom skontrolujete staré heslo zadané vo webovom formulári funkcia unix_crypt, do ktorej sa odovzdá heslo prijaté od používateľa bez špeciálnych znakov. V úložisku git táto funkcia obalený okolo modulu Crypt::UnixCrypt a nie je nebezpečný, ale archív kódu poskytnutý na webovej stránke Sourceforge volá kód, ktorý priamo pristupuje k /etc/shadow, ale robí to pomocou konštrukcie shellu. Ak chcete zaútočiť, stačí zadať symbol „|“ do poľa so starým heslom. a nasledujúci kód po jeho spustení s právami root na serveri.
Na Vývojári Webmin, škodlivý kód bol vložený v dôsledku ohrozenia infraštruktúry projektu. Podrobnosti ešte neboli poskytnuté, takže nie je jasné, či sa hack obmedzil na prevzatie kontroly nad účtom Sourceforge alebo ovplyvnil ďalšie prvky infraštruktúry vývoja a budovania Webmin. Škodlivý kód sa v archívoch nachádza od marca 2018. Problém sa tiež dotkol . V súčasnosti sú všetky archívy sťahovania prebudované z Gitu.
Zdroj: opennet.ru