黑客在Linux/Unix服务器的实用程序Webmin中植入了后门

相反,它是由一位不知名的黑客秘密种植的,他成功地在其构建基础设施中的某个点上注入了一个后门并持续在各种版本的Webmin(1.882到1.921)中隐藏了一年多。

Webmin是每年下载量超过300万也世界上最受欢迎的基于Web的开源应用程序,用于管理基于Unix的系统,如Linux,FreeBSD或OpenBSD服务器。

Webmin提供了一个简单的用户界面(UI)来管理用户和组,数据库,BIND,Apache,Postfix,Sendmail,QMail,备份,防火墙,监控和警报等等。


故事开始于土耳其研究员ÖzkanMustafaAkkuş于8月10日在DefCon的Webmin公开指出零日远程代码执行漏洞,而没有事先通知受影响的项目维护人员。
 

“我们没有收到任何提前通知,这对发现它的研究人员来说是不寻常和不道德的。但是,在这种情况下我们无能为力,只能尽快修复它,”项目开发人员之一Joe Cooper说。


除了揭示缺陷外,Akkuş还发布了一个针对此漏洞的Metasploit模块,旨在使用Metasploit框架自动化开发。

 

该漏洞(CVE-2019-15107)被引入安全功能,该功能旨在让Webmin管理员为其他用户的帐户强制实施密码过期策略。

 

根据研究人员的说法,安全漏洞存在于密码重置页面中,允许远程未经身份验证的攻击者通过POST在旧密码字段中添加简单的管道命令(“|”)来在受影响的服务器上执行具有root权限的任意命令要求。
 

在今天发布的一篇博客文章中,Cooper表示该团队仍在调查后门被引入的方式和时间,但确认官方Webmin下载仅被项目的SourceForge存储库中的后端软件包取代,而不是Webmin的GitHub存储库。

 

Cooper还强调,默认情况下,Webmin帐户不会启用受影响的密码到期功能,这意味着大多数版本在其默认配置中不易受攻击,并且该缺陷仅影响已手动启用此功能的Webmin管理员。

“要利用恶意代码,您的Webmin安装必须将Webmin→Webmin配置→身份验证→密码到期策略设置为提示输入新密码的用户输入新密码。默认情况下不设置此选项,但如果已设置,则允许远程执行代码,“Cooper说。

 

然而,Twitter上的另一位安全研究人员后来透露,Webmin版本1.890在默认配置中受到影响,因为黑客似乎已经修改了源代码以默认为所有Webmin用户启用密码过期功能。

Webmin源代码中的这些不寻常的变化在去年年底被管理员用红色标记,但令人惊讶的是,Webmin开发人员从未怀疑这不是他们的错误,但代码实际上是由其他人故意修改的。

根据Shodan的搜索,在撰写本文时,Webmin有超过218,000个可供互联网访问的实例,大多数位于美国,法国和德国 – 其中超过13,000个实例运行易受攻击的Webmin版本1.890。

Webmin开发人员现在已经删除了其软件中的恶意后门以解决漏洞,并发布了干净的版本,Webmin 1.930和Usermin版本1.780。

最新的Webmin和Usermin版本还解决了一些跨站点脚本(XSS)漏洞,这些漏洞由一位获得奖励的不同安全研究人员负责任地披露。

因此,强烈建议Webmin管理员尽快更新其软件包。

发表评论