Linux

Хакеры внедрили бэкдор в Webmin — популярную утилиту для Linux/Unix серверов

После публичного раскрытия критической уязвимости нулевого дня в Webmin на прошлой неделе сопровождающие проекта сегодня показали, что недостаток на самом деле не был результатом ошибки кодирования, допущенной программистами.

Вместо этого бэкдор был тайно посажен неизвестным хакером, который успешно сумел внедрить бэкдор в какой—то момент в своей инфраструктуре сборки – что удивительно, он сохранился в различных выпусках Webmin (1.882-1.921) и в конечном итоге оставался скрытым в течение года.

С более чем 3 миллионов загрузок в год, Webmin является одним из самых популярных в мире веб-приложений с открытым исходным кодом для управления Unix-системами, такими как Linux, FreeBSD или OpenBSD.

Webmin предлагает простой пользовательский интерфейс для управления пользователями и группами, базами данных, BIND, Apache, Postfix, Sendmail, QMail, резервными копиями, брандмауэрами, мониторингом и предупреждениями и многим другим.

История началась, когда турецкий исследователь Озкан Мустафа Аккуш публично представил уязвимость удаленного выполнения кода в нулевой день в Webmin на DefCon 10 августа, не давая никакого предварительного уведомления затронутым сопровождающим проекта.

“Мы не получили предварительного уведомления об этом, что является необычным и неэтичным со стороны исследователя, который его обнаружил . Но в таких случаях мы ничего не можем сделать, кроме как исправить это как можно скорее”, – сказал Джо Купер, один из разработчиков проекта.
Помимо раскрытия дефекта для общественности, Akkuş также выпустил модуль Metasploit для этой уязвимости,который направлен на автоматизацию эксплуатации с использованием платформы Metasploit.

Хакеры внедрили бэкдор в Webmin — популярную утилиту для Linux/Unix серверов

Уязвимость, отслеживаемая как CVE-2019-15107, была введена в функцию безопасности, которая была разработана, чтобы позволить администратору Webmin применять политику истечения срока действия пароля для учетных записей других пользователей.

По словам исследователя, недостаток безопасности находится на странице сброса пароля и позволяет удаленному, не прошедшему проверку подлинности злоумышленнику выполнять произвольные команды с правами суперпользователя на затронутых серверах, просто добавляя простую команду канала (“|”) в поле старого пароля через запросы POST.

В блоге опубликованный сегодня, Купер сказал, что команда все еще исследует, как и когда был введен бэкдор, но подтвердил, что официальные загрузки Webmin были заменены backdoored пакетами только в репозитории SourceForge проекта, а не в репозиториях GitHub Webmin.

Купер также подчеркнул, что затронутая функция истечения срока действия пароля не включена по умолчанию для учетных записей Webmin, что означает, что большинство версий не являются уязвимыми в своей конфигурации по умолчанию, и недостаток затрагивает только администраторов Webmin, которые вручную включили эту функцию.

“Для использования вредоносного кода в вашей установке Webmin должен быть установлен параметр политики Webmin → конфигурация Webmin → аутентификация → срок действия пароля, чтобы пользователи с истекшим сроком действия пароля могли ввести новый пароль. Этот параметр не установлен по умолчанию, но если он установлен, он позволяет удаленное выполнение кода”, – сказал Купер.
Однако другой исследователь безопасности в Twitter позже показал, что версия Webmin 1.890 влияет на конфигурацию по умолчанию, поскольку хакеры, похоже, изменили исходный код, чтобы включить функцию истечения срока действия пароля по умолчанию для всех пользователей Webmin.

Хакеры внедрили бэкдор в Webmin — популярную утилиту для Linux/Unix серверов

Эти необычные изменения в исходном коде Webmin были отмечены администратором в конце прошлого года, но удивительно, что разработчики Webmin никогда не подозревали, что это не их ошибка, но код был фактически изменен кем-то другим намеренно.

По данным поиска Shodan, Webmin имеет более 218 000 экземпляров, доступных в интернете на момент написания, в основном расположенных в Соединенных Штатах, Франции и Германии, из которых более 13 000 экземпляров работают с уязвимой версией Webmin 1.890.

Хакеры внедрили бэкдор в Webmin — популярную утилиту для Linux/Unix серверов

Разработчики Webmin теперь удалили вредоносный бэкдор в своем программном обеспечении для устранения уязвимости и выпустили чистые версии, Webmin 1.930 и Usermin версии 1.780.

Последние версии Webmin и Usermin также затрагивают несколько уязвимостей межсайтового скриптинга (XSS), которые были ответственно раскрыты другим исследователем безопасности, который был вознагражден щедростью.

Поэтому администраторам Webmin настоятельно рекомендуется как можно скорее обновить свои пакеты.

Proxy White Advertisement

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Один комментарий

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close