Версии Backdoored Webmin были доступны для скачивания более года через официальный сайт.

Каталин Чимпану за нулевой день | 19 августа 2019.- 18:47 GMT (11:47 PDT) | Тема: Безопасность

Изображение: проект Webmin

TechRepublic

В Webmin, популярном веб-приложении, был обнаружен механизм бэкдора, используемый системными администраторами для управления удаленными Unix-системами, такими как Linux, FreeBSD или OpenBSD.

Механизм бэкдора позволит удаленному злоумышленнику выполнять вредоносные команды с правами root на компьютере, на котором работает Webmin. После взлома этой машины злоумышленник может использовать ее для запуска атак на системы, управляемые через Webmin.

Более миллиона установок Webmin уязвимы

Поверхность атаки огромна. Без учета машин, управляемых через Webmin. На своей странице GitHub команда Webmin утверждает, что их приложение имеет «более 1 000 000 установок по всему миру». Поисковый запрос Shodan возвращает более 215 000 общедоступных экземпляров Webmin, которые можно атаковать, не подвергая риску внутренние сети или обходя межсетевые экраны для достижения установки Webmin.

Сам проект чрезвычайно популярен среди системных администраторов Linux благодаря удобству, которое он приносит в повседневную работу. Системные администраторы могут установить Webmin на сервер, а затем использовать свой веб-браузер для внесения изменений в удаленные системы Unix.

Эти модификации — это не просто базовые обновления дисковой квоты и возможность запустить или остановить несколько демонов. Webmin может позволить системным администраторам изменять настройки ОС и внутренние компоненты, создавать новых пользователей и даже обновлять конфигурации приложений, работающих на удаленных системах, таких как Apache, BIND, MySQL, PHP, Exim и многие другие.

Читайте так же

Найти Айфон По Номеру Телефона Онлайн... Часто мы все попадаем в ситуации, когда срочно необходимо отыскать как еще его называют отследить айфон. Предпосылки случаются самые различные: Кража по другому утрата телефона Желание присмотреть за своим ребёнком Отслеживание водителя в коммерческом транспорте и так далее. Нужно означает нужно, если позаботиться о приготовлениях заблаговрем...
Как Найти Адрес Человека По Номеру Телефона... Поиск того или другого человека по телефону связан с определенными трудностями. К примеру, отыскать адресок по телефону очень трудно, потому что информация из абонентских баз носит секретный нрав. Однако некие методы получения инфы все-же есть, об этом факте будем вести разговор в рамках нашего обзора. Наверное читатели интересуются – как отыскать ...
Как Найти Потерянный Телефон Андроид Через Гугл... Как отыскать потерянное устройство, заблокировать его или удалить с него данные Функция "Отыскать устройство" позволяет стремительно выяснить, где находится ваш телефон, планшет иначе говоря часы. Сегодня, с ее помощью можно удаленно заблокировать устройство по другому стереть с него нашему клиенту остается данные. Функция врубается автом...

Проект огромен в экосистеме Linux и включает более 100 модулей, которые расширяют его основные функции, поддерживают все основные дистрибутивы и готовые проекты, такие как Virtualmin и Usermin.

Как бэкдор Webmin был найден

Однако, несмотря на свою популярность, бэкдор в коде Webmin оставался скрытым в исходном коде проекта более года.

Backdoor можно найти в Webmin, популярной веб-утилите для управления серверами Unix.

Первые признаки того, что что-то не так, стали известны, когда ранее, турецкий исследователь безопасности Озкан Мустафа Аккуш обнаружил то, что он первоначально назвал уязвимостью в исходном коде Webmin.

Эта уязвимость позволяла злоумышленникам, не прошедшим проверку подлинности, запускать код на серверах, на которых работает приложение Webmin.

Ошибка получила идентификатор уязвимости CVE-2019-15107, и Аккуш представил свои находки в AppSec Village на конференции по безопасности DEF CON 27, состоявшейся в Лас-Вегасе в начале месяца.

Однако, после выступления на столь громкой конференции, другие исследователи безопасности также начали копаться в том, что казалось очень опасным недостатком безопасности в очень популярной утилите Linux.

Это дополнительное рытье привело к новой информации, обнаруженной за выходные.

Webmin обвиняет "скомпрометированную инфраструктуру сборки"

По словам одного из разработчиков Webmin, уязвимость не была результатом ошибки кодирования, а фактически была «вредоносным кодом, внедренным в скомпрометированную инфраструктуру сборки».

Код присутствовал только в пакетах Webmin, предлагаемых для загрузки через SourceForge, но не в GitHub. Однако это не уменьшает влияние этой проблемы, поскольку на веб-сайте Webmin ссылки на SourceForge указаны в качестве официальных URL-адресов для загрузки.

Команда Webmin также не указала, относится ли «скомпрометированная инфраструктура сборки» к скомпрометированной машине разработчика, на которой был создан код, или к скомпрометированной учетной записи SourceForge, которую хакер мог использовать для загрузки своей вредоносной версии Webmin в SourceForge. ,

Читайте так же

Найти Айфон По Номеру Телефона Онлайн... Часто мы все попадаем в ситуации, когда срочно необходимо отыскать как еще его называют отследить айфон. Предпосылки случаются самые различные: Кража по другому утрата телефона Желание присмотреть за своим ребёнком Отслеживание водителя в коммерческом транспорте и так далее. Нужно означает нужно, если позаботиться о приготовлениях заблаговрем...
Fortnite посетить пиратские лагеря Как найти карту... Посещение пиратских лагерей FORTNITE. это одна из задач седьмого сезона в восьмом сезоне. Вот пример Express.co.uk's gu> FORTNITE VISIT PIRATE CAMPS. ОБНОВЛЕНИЕ ПЕРВЫЙ: Соревнования на седьмой неделе Fortnite только что начались, и одним из них является посещение пиратских лагерей. Если вы изо всех сил пытаетесь найти все местоположения на карте ...
Как Найти Адрес Человека По Номеру Телефона... Поиск того или другого человека по телефону связан с определенными трудностями. К примеру, отыскать адресок по телефону очень трудно, потому что информация из абонентских баз носит секретный нрав. Однако некие методы получения инфы все-же есть, об этом факте будем вести разговор в рамках нашего обзора. Наверное читатели интересуются – как отыскать ...

Со своей стороны Sourceforce сказал голосом своего президента, что хакер не использовал какую-либо уязвимость в платформе, и что SourceForge размещал только то, что администраторы проекта загрузили через свои учетные записи.

Webmin по умолчанию не уязвим

Согласно первоначальному техническому анализу Аккуша, уязвимость существовала в функции Webmin, которая позволяет администраторам Webmin применять политику истечения срока действия пароля для веб-учетных записей Webmin.

Если эта функция Webmin включена, то злоумышленник может использовать ее для установки Webmin, добавив команды оболочки с помощью «|» символ внутри HTTP-запроса, отправленного на сервер Webmin.

По словам команды Webmin, все версии от 1.882 до 1.921, загруженные с Sourceforge, содержали вредоносный код бэкдора.

Вчера, 18 августа, была выпущена версия 1.930 для удаления бэкдора. Это также означает, что версии Webmin с резервной копией загружались сотни тысяч раз больше года с марта 2018 года.

Хорошей новостью является то, что Webmin при установке по умолчанию не поставляется с включенной по умолчанию функцией истечения срока действия пароля. Администраторы Webmin должны внести изменения в файл конфигурации Webmin, чтобы включить функцию истечения срока действия пароля для учетных записей Webmin, что означает, что большинство установок Webmin, скорее всего, защищены от попыток эксплуатации.

Плохая новость заключается в том, что хакер, ответственный за компрометацию инфраструктуры сборки Webmin, похоже, пытался изменить состояние по умолчанию срока действия пароля в Webmin 1.890, когда он включил эту функцию по умолчанию для всех пользователей Webmin.

Однако модификация была небрежной и вызывала ошибки у некоторых пользователей, которые сообщили об этой проблеме администраторам Webmin, которые затем вернулись к предыдущему состоянию по умолчанию в следующем выпуске.

«В любом случае, настоятельно рекомендуется выполнить обновление до версии 1.930», — говорится в сообщении группы безопасности, опубликованном вчера.

Читайте так же

Как Найти Адрес Человека По Номеру Телефона... Поиск того или другого человека по телефону связан с определенными трудностями. К примеру, отыскать адресок по телефону очень трудно, потому что информация из абонентских баз носит секретный нрав. Однако некие методы получения инфы все-же есть, об этом факте будем вести разговор в рамках нашего обзора. Наверное читатели интересуются – как отыскать ...
Скрытые фотоаппараты для комиксов на iPhone: где и... Вам не нужно Memoji или новый iPhone, чтобы создать себе книгу комиксов. С iOS 12 Apple представила Memoji - говорящие мультфильмы о себе. Memoji, однако, не единственный способ создать вам мультфильм, если вам не нужен ваш мультфильм, чтобы вы могли говорить или двигаться. В iOS 12 есть несколько новых фильтров для фотографий, которые могут пр...
Найти Айфон По Imei Если Он Выключен... Как отыскать айфон, если он выключен Для юзеров iPhone – не только девайс, а значимая часть жизни. Утрата телефона способна, мягко говоря, ввести в ступор: человек лишается не только лишь телефона, но и ежедневника, фото, контактов, путеводителей, возлюбленной музыки. Избежать краха просто! Разработчики Apple потрудились успешно, и благодаря служба...