Webmin, um aplicativo baseado na web para administradores de sistema de sistemas baseados em Unix (Linux, FreeBSD, ou servidores do OpenBSD), contém um backdoor que pode permitir que atacantes remotos para executar comandos maliciosos com privilégios de root. Um sistema comprometido pode ser usado posteriormente para novos ataques Navegar contra os sistemas geridos através Webmin.
O que é Webmin? Webmin é uma interface baseada na web para a administração do sistema para Unix. O uso de qualquer navegador moderno, Você pode configurar contas de usuário, Apache, DNS, compartilhamento de arquivos e muito mais. Webmin remove a necessidade de editar manualmente arquivos de configuração Unix como / etc / passwd, e permite-lhe gerir um sistema a partir do console ou remotamente, o site oficial diz.
O Webmin também permite que os administradores do sistema modifiquem configurações e detalhes internos no nível do sistema operacional, criar novos usuários, e atualizar as configurações de aplicativos em execução em sistemas remotos, tais como Apache, LIGAR, MySQL, PHP, Exim. Devido a estas conveniências e a importância global do Webmin no ecossistema Linux, a ferramenta é usada por muitos administradores de sistemas, ea ameaça que ela representa é enorme.
Em risco são mais do que 1,000,000 instalações em todo o mundo. Os dados mostram Shodan que há alguns 215,000 casos pública Webmin que estão abertos a ataques. Nesses casos pode ser comprometida sem a necessidade de acesso a redes internas ou firewalls contornando.
CVE-2019-15107 Webmin
A questão é decorrente de uma vulnerabilidade descoberta por pesquisador de segurança Özkan Mustafa Akkus que encontrou uma brecha no código-fonte do Webmin. A falha permitiu atores ameaça não autenticados para executar código nos servidores que executam o aplicativo. A falha é agora conhecido como CVE-2019-15107. O pesquisador apresentou suas descobertas durante a AppSec Village ao CON DEF 27 conferência de segurança em Las Vegas no início deste mês.
Após a apresentação de outros pesquisadores da Akkus começou a olhar mais profundamente o problema CVE-2019-15107 apenas para descobrir que é uma vulnerabilidade de grande impacto.
Um dos desenvolvedores do Webmin diz que a vulnerabilidade CVE-2019-15107 não é um resultado de um erro de codificação mas o código em vez malicioso injetado em infra-estrutura de construção comprometida.
além disso, este código estava presente em pacotes de download do Webmin no SourceForge e não no GitHub. Claro, este fato não altera o impacto da vulnerabilidade - na verdade, SourceForge é listado como o download oficial no site oficial do Webmin.
Para mais informações é necessária para esclarecer se a infra-estrutura de construção comprometida está relacionada a um sistema comprometido do desenvolvedor que criou o código, ou a uma conta comprometida em código fonte. Tal consideração uma poderia ter sido usado por um atacante para fazer upload de uma versão Webmin malicioso. De acordo com o SourceForge, o atacante não tem explorado eventuais falhas na plataforma. SourceForge única hospedado o código enviado pelos administradores do projeto através de suas próprias contas.
Note-se que todas as versões do Webmin entre 1.882 e 1.921 que foram baixados do SourceForge são vulneráveis. versão Webmin 1.930 foi lançado em agosto 18. De acordo com consultivo oficial:
lançamentos Webmin entre essas versões contêm uma vulnerabilidade que permite a execução de comandos remotos! Versão 1.890 é vulnerável em uma instalação padrão e deve ser atualizado imediatamente – outras versões só são vulneráveis se mudando de senhas expiradas está habilitado, o que não é o caso por padrão.
De qualquer jeito, atualizar para a versão 1.930 É altamente recomendável. alternadamente, se as versões que executam 1.900 para 1.920.