黑客在Linux/Unix服務器的實用程序Webmin中植入了后門
責編:gltian |2019-08-21 15:46:56相反,它是由一位不知名的黑客秘密種植的,他成功地在其構建基礎設施中的某個點上注入了一個后門并持續在各種版本的Webmin(1.882到1.921)中隱藏了一年多。
Webmin是每年下載量超過300萬也世界上最受歡迎的基于Web的開源應用程序,用于管理基于Unix的系統,如Linux,FreeBSD或OpenBSD服務器。
Webmin提供了一個簡單的用戶界面(UI)來管理用戶和組,數據庫,BIND,Apache,Postfix,Sendmail,QMail,備份,防火墻,監控和警報等等。
故事開始于土耳其研究員?zkanMustafaAkku?于8月10日在DefCon的Webmin公開指出零日遠程代碼執行漏洞,而沒有事先通知受影響的項目維護人員。
“我們沒有收到任何提前通知,這對發現它的研究人員來說是不尋常和不道德的。但是,在這種情況下我們無能為力,只能盡快修復它,”項目開發人員之一Joe Cooper說。
除了揭示缺陷外,Akku?還發布了一個針對此漏洞的Metasploit模塊,旨在使用Metasploit框架自動化開發。
該漏洞(CVE-2019-15107)被引入安全功能,該功能旨在讓Webmin管理員為其他用戶的帳戶強制實施密碼過期策略。
根據研究人員的說法,安全漏洞存在于密碼重置頁面中,允許遠程未經身份驗證的攻擊者通過POST在舊密碼字段中添加簡單的管道命令(“|”)來在受影響的服務器上執行具有root權限的任意命令要求。
在今天發布的一篇博客文章中,Cooper表示該團隊仍在調查后門被引入的方式和時間,但確認官方Webmin下載僅被項目的SourceForge存儲庫中的后端軟件包取代,而不是Webmin的GitHub存儲庫。
Cooper還強調,默認情況下,Webmin帳戶不會啟用受影響的密碼到期功能,這意味著大多數版本在其默認配置中不易受攻擊,并且該缺陷僅影響已手動啟用此功能的Webmin管理員。
“要利用惡意代碼,您的Webmin安裝必須將Webmin→Webmin配置→身份驗證→密碼到期策略設置為提示輸入新密碼的用戶輸入新密碼。默認情況下不設置此選項,但如果已設置,則允許遠程執行代碼,“Cooper說。
然而,Twitter上的另一位安全研究人員后來透露,Webmin版本1.890在默認配置中受到影響,因為黑客似乎已經修改了源代碼以默認為所有Webmin用戶啟用密碼過期功能。
Webmin源代碼中的這些不尋常的變化在去年年底被管理員用紅色標記,但令人驚訝的是,Webmin開發人員從未懷疑這不是他們的錯誤,但代碼實際上是由其他人故意修改的。
根據Shodan的搜索,在撰寫本文時,Webmin有超過218,000個可供互聯網訪問的實例,大多數位于美國,法國和德國 – 其中超過13,000個實例運行易受攻擊的Webmin版本1.890。
Webmin開發人員現在已經刪除了其軟件中的惡意后門以解決漏洞,并發布了干凈的版本,Webmin 1.930和Usermin版本1.780。
最新的Webmin和Usermin版本還解決了一些跨站點腳本(XSS)漏洞,這些漏洞由一位獲得獎勵的不同安全研究人員負責任地披露。
因此,強烈建議Webmin管理員盡快更新其軟件包。
轉載自安全加http://toutiao.secjia.com/article/page?topid=111878