Webmin, et web-baseret program til systemadministratorer af Unix-baserede systemer (Linux, FreeBSD, eller OpenBSD servere), indeholder en bagdør, der kan gøre det muligt for fjernangribere at udføre ondsindede kommandoer med root-privilegier. Et kompromitteret system kan senere bruges til at navigere yderligere angreb mod de systemer, der forvaltes gennem Webmin.
Hvad er Webmin? Webmin er en web-baseret interface til systemadministration til Unix. Ved hjælp af en hvilken som helst moderne webbrowser, Du kan setup brugerkonti, Apache, DNS, fildeling og meget mere. Webmin fjerner behovet for manuelt at redigere Unix konfigurationsfiler såsom / etc / passwd, og lader dig styre et system fra konsollen eller eksternt, den officielle hjemmeside siger.
Webmin tillader også systemadministratorer til at ændre indstillinger og interne på OS-niveau, oprette nye brugere, og opdatere konfigurationer af applikationer, der kører på eksterne systemer, såsom Apache, BINDE, MySQL, PHP, Exim. På grund af disse bekvemmeligheder og den overordnede betydning af Webmin i Linux økosystem, værktøjet bruges af mange systemadministratorer, og den trussel, den udgør er enorm.
I fare er mere end 1,000,000 installationer på verdensplan. Shodan data viser, at der er nogle 215,000 offentlige Webmin tilfælde, som er åbne for angreb. Disse tilfælde kan være kompromitteret uden behov for adgang til interne netværk eller uden om firewalls.
CVE-2019-15.107 Webmin Sårbarhed
Spørgsmålet er stammer fra en sårbarhed spottet af sikkerhed forsker Özkan Mustafa Akkus der fundet et smuthul i Webmin kildekode. Fejlen aktiveret godkendte trussel aktører til at køre kode på de servere, der kører app. Fejlen er nu kendt som CVE-2019-15.107. Forskeren præsenterede sine resultater under AppSec Village ved DEF CON 27 sikkerhedskonference i Las Vegas tidligere i denne måned.
Efter Akkus præsentation andre forskere begyndte at kigge dybere ind i CVE-2019-15.107 problem kun for at opdage, at det er en sårbarhed stor indvirkning.
Et af Webmin udviklere siger, at CVE-2019-15.107 sårbarhed er ikke et resultat af en kodning fejl, men snarere skadelig kode sprøjtes ind kompromitteret build infrastruktur.
Endvidere, denne kode var til stede i Webmin hente pakker på SourceForge og ikke på GitHub. Selvfølgelig, dette faktum ændrer ikke effekten af sårbarheden - faktisk, SourceForge er opført som den officielle download på den officielle hjemmeside for Webmin.
er behov for yderligere oplysninger for at afklare, om den kompromitterede build infrastruktur er relateret til en kompromitteret system udvikler, der skabte koden, eller til en kompromitteret konto på SourceForge. En sådan konto kan være blevet anvendt af en angriber at uploade et ondsindet Webmin-version. Ifølge SourceForge, hackeren har ikke udnyttet nogen fejl i platformen. SourceForge kun var vært for koden uploadet af projektets administratorer via deres egne konti.
Bemærk, at alle Webmin versioner mellem 1.882 og 1.921 der blev hentet fra SourceForge er sårbare. Webmin-version 1.930 blev udgivet på August 18. Ifølge officielle rådgivende:
Webmin frigiver mellem disse versioner indeholder en svaghed, der muliggør fjernstyret kommandoudførelse! Version 1.890 er sårbar i en standard installation og bør opgraderes straks – andre versioner er kun sårbare, hvis udskiftning af udløbne adgangskoder er aktiveret, hvilket ikke er tilfældet som standard.
Enten måde, opgradering til version 1.930 anbefales kraftigt. Skiftevis, hvis kører versioner 1.900 til 1.920.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: