Webmin, une application basée sur le Web pour les administrateurs système de systèmes basés sur Unix (Linux, FreeBSD, ou des serveurs OpenBSD), contient une porte dérobée qui pourrait permettre à des attaquants distants d'exécuter des commandes malveillantes avec les privilèges root. Un système compromis peut ensuite être utilisé pour naviguer de nouvelles attaques contre les systèmes gérés par Webmin.
Qu'est-ce que Webmin? Webmin est une interface Web pour l'administration du système pour Unix. L'utilisation d'un navigateur web moderne, vous pouvez les comptes utilisateur de configuration, Apache, DNS, le partage de fichiers et bien plus encore. Webmin supprime la nécessité de modifier manuellement les fichiers de configuration Unix / etc / passwd, et vous permet de gérer un système à partir de la console ou à distance, le site officiel dit.
Webmin permet également aux administrateurs système de modifier les paramètres et internes au niveau OS, créer de nouveaux utilisateurs, et mettre à jour les configurations des applications en cours d'exécution sur des systèmes distants, comme Apache, LIER, MySQL, PHP, Exim. En raison de ces commodités et l'importance globale de Webmin dans l'écosystème Linux, l'outil est utilisé par de nombreux administrateurs système, et la menace qu'il pose est énorme.
Au risque sont plus 1,000,000 installations dans le monde. données Shodan montre qu'il ya quelques 215,000 publics cas Webmin qui sont ouverts aux attaques. Ces instances peuvent être compromis sans avoir besoin d'un accès aux réseaux internes ou pare-feu sans passer.
CVE-2019-15107 Webmin vulnérabilité
La question est liée à la présence d'une vulnérabilité repérée par le chercheur en sécurité Mustafa Özkan Akkuş qui a trouvé une faille dans le code source de Webmin. La faille a permis à des acteurs non authentifiées de menace d'exécuter du code sur les serveurs exécutant l'application. Le défaut est maintenant connu sous le nom CVE-2019-15107. Le chercheur a présenté ses conclusions au cours du Village AppSec au DEF CON 27 conférence sur la sécurité à Las Vegas plus tôt ce mois-ci.
Après la présentation de Akkuş autres chercheurs ont commencé à examiner plus en profondeur le problème CVE-2019-15107 seulement pour découvrir qu'il est une vulnérabilité de grand impact.
L'un des développeurs de Webmin dit que la vulnérabilité CVE-2019-15107 ne résulte pas d'une erreur de codage mais le code plutôt malveillant injecté dans l'infrastructure de construction compromise.
En outre, Ce code a été présent dans les paquets de téléchargement Webmin sur SourceForge et non sur GitHub. Bien sûr, ce fait ne change pas l'impact de la vulnérabilité - en fait, SourceForge est répertorié comme le téléchargement officiel sur le site officiel de Webmin.
Des informations complémentaires sont nécessaires pour préciser si l'infrastructure de construction compromis est liée à un système de compromis le développeur qui a créé le code, ou à un compte compromis sur SourceForge. Un tel compte aurait été utilisé par un attaquant pour télécharger une version Webmin malveillant. Selon SourceForge, l'attaquant n'a pas exploité les failles dans la plate-forme. SourceForge seulement hébergé le code téléchargé par les administrateurs du projet via leurs propres comptes.
Notez que toutes les versions entre Webmin 1.882 et 1.921 qui ont été téléchargés à partir de SourceForge sont vulnérables. Version Webmin 1.930 a été publié en Août 18. Selon le consultatif officiel:
Webmin libère entre ces versions contiennent une vulnérabilité qui permet l'exécution de commandes à distance! Version 1.890 est vulnérable dans une installation par défaut et doit être mis à jour immédiatement – d'autres versions ne sont vulnérables que si le changement des mots de passe expirés est activé, qui n'est pas le cas par défaut.
D'une manière ou d'une autre, la mise à niveau à la version 1.930 Il est fortement recommandé. Alternativement, si les versions en cours d'exécution 1.900 à 1.920.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: