Trong gói , cung cấp các công cụ để quản lý máy chủ từ xa, cửa sau (), được tìm thấy trong các bản dựng dự án chính thức, thông qua Sourceforge và trên trang web chính. Cửa hậu này hiện diện trong các bản dựng từ 1.882 đến 1.921 (không có mã nào có cửa sau trong kho git) và cho phép các lệnh shell tùy ý được thực thi từ xa mà không cần xác thực trên hệ thống có quyền root.
Để tấn công, chỉ cần có một cổng mạng mở với Webmin và kích hoạt chức năng thay đổi mật khẩu lỗi thời trong giao diện web (được bật theo mặc định trong các bản dựng 1.890, nhưng bị tắt trong các phiên bản khác). Vấn đề в 1.930. Là một biện pháp tạm thời để chặn cửa sau, bạn chỉ cần xóa cài đặt “passwd_mode=” khỏi tệp cấu hình /etc/webmin/miniserv.conf. Chuẩn bị cho thử nghiệm .
Vấn đề là trong tập lệnh pass_change.cgi, trong đó để kiểm tra mật khẩu cũ đã nhập trong biểu mẫu web hàm unix_crypt, mà mật khẩu nhận được từ người dùng được chuyển đến mà không thoát các ký tự đặc biệt. Trong kho git chức năng này bao quanh mô-đun Crypt::UnixCrypt và không nguy hiểm, nhưng kho lưu trữ mã được cung cấp trên trang web Sourceforge gọi mã truy cập trực tiếp /etc/shadow, nhưng thực hiện việc này bằng cách sử dụng cấu trúc shell. Để tấn công, chỉ cần nhập ký hiệu “|” vào trường bằng mật khẩu cũ. và đoạn mã sau sẽ được thực thi với quyền root trên máy chủ.
Trên Các nhà phát triển Webmin, mã độc được chèn vào do cơ sở hạ tầng của dự án bị xâm phạm. Thông tin chi tiết vẫn chưa được cung cấp, vì vậy không rõ liệu vụ hack chỉ giới hạn ở việc chiếm quyền kiểm soát tài khoản Sourceforge hay ảnh hưởng đến các yếu tố khác của cơ sở hạ tầng và phát triển Webmin. Mã độc đã có mặt trong kho lưu trữ từ tháng 2018 năm XNUMX. Vấn đề cũng bị ảnh hưởng . Hiện tại, tất cả kho lưu trữ tải xuống đều được xây dựng lại từ Git.
Nguồn: opennet.ru