ProHoster > Blog > balita sa internet > May nakitang backdoor sa Webmin na nagbibigay-daan sa malayuang pag-access na may mga karapatan sa ugat.

May nakitang backdoor sa Webmin na nagbibigay-daan sa malayuang pag-access na may mga karapatan sa ugat.

Sa pakete Webmin, na nagbibigay ng mga tool para sa remote na pamamahala ng server, nakilala pinto sa likuran (CVE-2019-15107), na matatagpuan sa opisyal na mga build ng proyekto, ipinamahagi sa pamamagitan ng Sourceforge at inirerekomenda sa pangunahing site. Ang backdoor ay naroroon sa mga build mula 1.882 hanggang 1.921 inclusive (walang code na may backdoor sa git repository) at pinahintulutan ang mga arbitrary na shell command na maisagawa nang malayuan nang walang authentication sa isang system na may mga karapatan sa ugat.

Para sa isang pag-atake, sapat na magkaroon ng isang bukas na port ng network sa Webmin at i-activate ang function para sa pagpapalit ng mga lumang password sa web interface (pinagana bilang default sa build 1.890, ngunit hindi pinagana sa ibang mga bersyon). Problema inalis Π² pag-update 1.930. Bilang pansamantalang hakbang para harangan ang backdoor, alisin lang ang setting na "passwd_mode=" mula sa /etc/webmin/miniserv.conf configuration file. Inihanda para sa pagsubok pagsamantalahan ang prototype.

Ang problema noon natuklasan sa script ng password_change.cgi, kung saan titingnan ang lumang password na inilagay sa web form ginamit ang unix_crypt function, kung saan ang password na natanggap mula sa user ay ipinasa nang hindi nakatakas sa mga espesyal na character. Sa git repository ang function na ito ay nakabalot sa Crypt:: UnixCrypt module at hindi mapanganib, ngunit ang code archive na ibinigay sa Sourceforge website ay tumatawag sa code na direktang nag-a-access sa /etc/shadow, ngunit ginagawa ito gamit ang isang shell construct. Upang mag-atake, ilagay lamang ang simbolo na "|" sa field na may lumang password. at ang sumusunod na code pagkatapos nito ay ipapatupad na may mga karapatan sa ugat sa server.

Sa pahayag Mga developer ng webmin, ipinasok ang malisyosong code bilang resulta ng nakompromiso ang imprastraktura ng proyekto. Ang mga detalye ay hindi pa naibibigay, kaya hindi malinaw kung ang pag-hack ay limitado sa pagkuha ng kontrol sa Sourceforge account o naapektuhan ang iba pang elemento ng Webmin development at build infrastructure. Ang malisyosong code ay naroroon sa mga archive mula noong Marso 2018. Naapektuhan din ang problema Gumagawa ang Usermin. Sa kasalukuyan, ang lahat ng mga archive ng pag-download ay itinayong muli mula sa Git.

Pinagmulan: opennet.ru

Magdagdag ng komento