Dina iket , nu nyadiakeun parabot pikeun manajemén server jauh, panto tukang (), kapanggih dina wangunan proyék resmi, via Sourceforge jeung dina situs utama. Backdoor hadir dina ngawangun ti 1.882 ka 1.921 inklusif (teu aya kodeu sareng backdoor dina gudang git) sareng ngamungkinkeun paréntah cangkang sawenang dieksekusi jarak jauh tanpa auténtikasi dina sistem anu gaduh hak akar.
Pikeun serangan, cukup gaduh port jaringan kabuka sareng Webmin sareng aktipkeun fungsi pikeun ngarobih kecap konci anu luntur dina antarmuka wéb (diaktipkeun sacara standar dina ngawangun 1.890, tapi ditumpurkeun dina versi anu sanés). Masalah в 1.930. Salaku ukuran samentara pikeun meungpeuk backdoor nu, saukur nyabut "passwd_mode =" setelan tina /etc/webmin/miniserv.conf file konfigurasi. Disiapkeun pikeun nguji .
masalahna éta dina skrip password_change.cgi, dimana pariksa sandi heubeul diasupkeun dina formulir web fungsi unix_crypt, nu sandi narima ti pamaké diliwatan tanpa escaping karakter husus. Dina gudang git fungsi ieu dibungkus sabudeureun Crypt :: modul UnixCrypt na teu bahaya, tapi arsip kode disadiakeun dina ramatloka Sourceforge nelepon kode nu aksés langsung / jsb / kalangkang, tapi ngalakukeun ieu ngagunakeun cangkang ngawangun. Pikeun nyerang, lebetkeun simbol "|" dina widang sareng kecap konci anu lami. jeung kodeu handap sanggeus éta bakal dieksekusi kalawan hak root dina server.
on Pamekar Webmin, kode jahat ieu diselapkeun salaku hasil tina infrastruktur proyék urang keur compromised. Rincian henteu acan disayogikeun, janten henteu écés naha hack éta dugi ka ngontrol akun Sourceforge atanapi mangaruhan unsur-unsur sanés dina pangwangunan Webmin sareng ngawangun infrastruktur. Kodeu jahat parantos aya dina arsip saprak Maret 2018. Masalahna ogé kapangaruhan . Ayeuna, sadaya arsip unduhan diwangun deui tina Git.
sumber: opennet.ru