CVE-2019-15107: Webminでのリモートコード実行の脆弱性

Webmin, Unixベースのシステムのシステム管理者向けのWebベースのアプリケーション (Linux, FreeBSD, またはOpenBSDサーバー), リモートの攻撃者がroot権限で悪意のあるコマンドを実行できるようにする可能性のあるバックドアが含まれています. 侵害されたシステムは、後でWebminを介して管理されているシステムに対するさらなる攻撃をナビゲートするために使用される可能性があります.

Webminとは何ですか? Webminは、Unixのシステム管理用のWebベースのインターフェイスです。. 最新のWebブラウザを使用する, ユーザーアカウントを設定できます, Apache, DNS, ファイル共有など. Webminにより、/ etc/passwdなどのUnix構成ファイルを手動で編集する必要がなくなります。, コンソールまたはリモートからシステムを管理できます, 公式サイトによると.

Webminを使用すると、システム管理者はOSレベルで設定と内部を変更することもできます, 新しいユーザーを作成する, リモートシステムで実行されているアプリケーションの構成を更新します, Apacheなど, 練る, MySQL, PHP, Exim. これらの便利さとLinuxエコシステムにおけるWebminの全体的な重要性のため, このツールは多くのシステム管理者によって使用されています, そしてそれがもたらす脅威は巨大です.

危険にさらされているのは 1,000,000 世界中のインストール. Shodanのデータはいくつかあることを示しています 215,000 攻撃を受けやすいパブリックWebminインスタンス. これらのインスタンスは、内部ネットワークへのアクセスやファイアウォールのバイパスを必要とせずに侵害される可能性があります.

CVE-2019-15107Webminの脆弱性

この問題は、Webminのソースコードに抜け穴を見つけたセキュリティ研究者のÖzkanMustafaAkkuşによって発見された脆弱性に起因しています。. この欠陥により、認証されていない脅威アクターがアプリを実行しているサーバーでコードを実行できるようになりました. この欠陥は現在CVE-2019-15107として知られています. 研究者は、DEFCONのAppSec村で調査結果を発表しました 27 今月初めにラスベガスで開催されたセキュリティ会議.

Akkuşのプレゼンテーションの後、他の研究者はCVE-2019-15107の問題をより深く調査し始め、それが大きな影響を与える脆弱性であることを発見しました。.

Webminの開発者の1人は、CVE-2019-15107の脆弱性はコーディングミスの結果ではなく、侵害されたビルドインフラストラクチャに悪意のあるコードが注入された結果であると述べています.

さらに, このコードは、GitHubではなくSourceForgeのWebminダウンロードパッケージに含まれていました. もちろん, この事実は脆弱性の影響を変更しません–実際, HTTPSは、Webminの公式Webサイトに公式ダウンロードとしてリストされています。.

侵害されたビルドインフラストラクチャが、コードを作成した開発者の侵害されたシステムに関連しているかどうかを明確にするために、さらに情報が必要です。, またはSourceForgeの侵害されたアカウントに. このようなアカウントは、攻撃者が悪意のあるWebminバージョンをアップロードするために使用した可能性があります. SourceForgeによると, 攻撃者はプラットフォームの欠陥を悪用していません. SourceForgeは、プロジェクト管理者が自分のアカウントを介してアップロードしたコードのみをホストしていました.

間のすべてのWebminバージョンに注意してください 1.882 と 1.921 Sourcesからダウンロードされたものは脆弱です. Webminバージョン 1.930 8月にリリースされました 18. による 公式アドバイザリー:

これらのバージョン間のWebminリリースには、リモートコマンドの実行を可能にする脆弱性が含まれています! バージョン 1.890 デフォルトのインストールでは脆弱であり、すぐにアップグレードする必要があります – 他のバージョンは、期限切れのパスワードの変更が有効になっている場合にのみ脆弱です, これはデフォルトでは当てはまりません.

どちらにしても, バージョンへのアップグレード 1.930 強くお勧めします. 代わりに, バージョンを実行している場合 1.900 に 1.920.