ProHoster > Blog > lajme në internet > Një backdoor është gjetur në Webmin që lejon qasje në distancë me të drejta rrënjësore.

Një backdoor është gjetur në Webmin që lejon qasje në distancë me të drejta rrënjësore.

Në paketë web min, i cili ofron mjete për menaxhimin e serverit në distancë, identifikuar dera e pasme (CVE-2019-15107), gjendet në ndërtimet zyrtare të projektit, të shpërndara nëpërmjet Sourceforge dhe rekomandohet në faqen kryesore. Backdoor ishte i pranishëm në ndërtimet nga 1.882 deri në 1.921 përfshirëse (nuk kishte kod me backdoor në depon e git) dhe lejonte që komandat arbitrare të guaskës të ekzekutoheshin nga distanca pa vërtetim në një sistem me të drejta rrënjësore.

Për një sulm, mjafton të kesh një port të hapur rrjeti me Webmin dhe të aktivizosh funksionin për ndryshimin e fjalëkalimeve të vjetruara në ndërfaqen e uebit (i aktivizuar si parazgjedhje në ndërtimet 1.890, por i çaktivizuar në versionet e tjera). Problem eliminohet в përditësimin 1.930. Si masë e përkohshme për të bllokuar derën e pasme, thjesht hiqni cilësimin “passwd_mode=” nga skedari i konfigurimit /etc/webmin/miniserv.conf. Përgatitur për testim shfrytëzuar prototipin.

Problemi ishte Zbuluar në skriptin password_change.cgi, në të cilin kontrolloni fjalëkalimin e vjetër të futur në formularin e internetit përdoret funksioni unix_crypt, të cilit i kalon fjalëkalimi i marrë nga përdoruesi pa i shpëtuar karaktereve speciale. Në magazinë git ky funksion është mbështjellë rreth modulit Crypt::UnixCrypt dhe nuk është i rrezikshëm, por arkivi i kodit i ofruar në faqen e internetit Sourceforge thërret kodin që akseson drejtpërdrejt /etc/shadow, por e bën këtë duke përdorur një konstrukt shell. Për të sulmuar, thjesht futni simbolin "|" në fushën me fjalëkalimin e vjetër. dhe kodi i mëposhtëm pasi ai do të ekzekutohet me të drejtat rrënjësore në server.

Mbi kërkesë Zhvilluesit e Webmin, kodi me qëllim të keq u fut si rezultat i komprometimit të infrastrukturës së projektit. Detajet nuk janë dhënë ende, kështu që nuk është e qartë nëse hakimi ka qenë i kufizuar në marrjen e kontrollit të llogarisë Sourceforge apo ka ndikuar në elementë të tjerë të zhvillimit dhe infrastrukturës së ndërtimit të Webmin. Kodi me qëllim të keq ka qenë i pranishëm në arkiva që nga marsi 2018. Problemi ndikoi gjithashtu Ndërton Usermin. Aktualisht, të gjitha arkivat e shkarkimit janë rindërtuar nga Git.

Burimi: opennet.ru

Shto një koment