包裝內 ,它提供了遠端伺服器管理的工具, 後門 (),在官方專案建構中發現, 透過 Sourceforge 和 在主網站上。該後門存在於 1.882 到 1.921(含)的版本中(git 儲存庫中沒有帶有後門的程式碼),並且允許在具有 root 權限的系統上遠端執行任意 shell 命令,而無需進行身份驗證。
對於攻擊來說,只要使用 Webmin 開啟網路連接埠並啟動 Web 介面中更改過時密碼的功能(在 1.890 版本中預設為啟用,但在其他版本中停用)就足夠了。問題 в 1.930。作為阻止後門的臨時措施,只需從 /etc/webmin/miniserv.conf 設定檔中刪除「passwd_mode=」設定即可。準備測試 .
問題是 在password_change.cgi腳本中,檢查在Web表單中輸入的舊密碼 unix_crypt 函數,將從使用者接收的密碼傳遞給該函數,而不轉義特殊字元。在 git 倉庫中這個函數 包裹在 Crypt::UnixCrypt 模組中,並不危險,但 Sourceforge 網站上提供的程式碼存檔呼叫直接存取 /etc/shadow 的程式碼,但使用 shell 構造來實作。要進行攻擊,只需在舊密碼欄位中指定符號“|”即可。後面的程式碼將在伺服器上以 root 權限執行。
上 Webmin 開發人員表示,惡意程式碼的插入是由於專案基礎設施遭到破壞。目前尚未提供詳細信息,因此尚不清楚這次駭客攻擊是否僅限於控制 Sourceforge 帳戶或影響 Webmin 開發和建立基礎設施的其他元素。該惡意程式碼自 2018 年 XNUMX 月以來一直存在於檔案中。問題也影響了 。目前,所有下載檔案都是從 Git 重建的。
來源: opennet.ru