Hackers hebben achterdeur in Webmin geplant, populair hulpprogramma voor Linux / Unix servers

Global news Envicom todayaugustus 20, 2019 13

Background
share close

Na de openbaarmaking van een kritieke zero dag kwetsbaarheid vorige week in Webmin, onthulden de projectbeheerders vandaag dat de fout niet het gevolg was van een codeer fout gemaakt door de programmeurs.


In plaats daarvan werd het in het geheim geplant door een onbekende hacker die met succes een achterdeur op een bepaald punt in zijn build infrastructuur wist te injecteren die verrassend volhield in verschillende releases van Webmin (1.882 tot 1.921) en uiteindelijk meer dan een jaar verborgen bleef.


Met meer dan 3 miljoen downloads per jaar is Webmin een van ’s werelds populairste open-source webgebaseerde applicaties voor het beheer van op Unix gebaseerde systemen, zoals Linux, FreeBSD of OpenBSD-servers.


Webmin biedt een eenvoudige gebruikersinterface (UI) voor het beheer van gebruikers en groepen, databases, BIND, Apache, Postfix, Sendmail, QMail, backups, firewalls, monitoring en waarschuwingen en nog veel meer. Het verhaal begon toen de Turkse onderzoeker Özkan Mustafa Akkuş op 10 augustus publiekelijk een zero-day kwetsbaarheid voor het uitvoeren van externe code in de Webmin op DefCon presenteerde, zonder de betrokken projectbeheerders hiervan vooraf op de hoogte te stellen.

“We hebben er geen vooraankondiging van ontvangen, wat ongebruikelijk en onethisch is door de onderzoeker die het heeft ontdekt. ​​Maar in dergelijke gevallen kunnen we het zo snel potentieel repareren”, zei Joe Cooper, een van de ontwikkelaars van het project.

Naast het openbaren van het gebrek aan het publiek, bracht Akkuş ook een Metasploit module uit voor dit beveiligingslek dat tot doel heeft de benutting te automatiseren met het Metasploit framework.

Het beveiligingslek, bijgehouden als CVE-2019-15107, is geïntroduceerd in een beveiligingsfunctie die is ontworpen om de Websitebeheerder een beleid voor het verlopen van wachtwoorden te laten afdwingen voor de accounts van andere gebruikers.

Volgens de onderzoeker bevindt het beveiligingslek zich op de pagina voor het opnieuw instellen van het wachtwoord en kan een externe, niet-geverifieerde aanvaller willekeurige opdrachten met root rechten op getroffen servers uitvoeren door eenvoudig een eenvoudig pijpcommando (“|”) toe te voegen in het oude wachtwoordveld via POST verzoeken.

In een vandaag gepubliceerde blogpost, zei Cooper dat het team nog steeds onderzoekt hoe en wanneer de achterdeur werd geïntroduceerd, maar bevestigde dat de officiële Webmin downloads werden vervangen door de achterdeur pakketten alleen in de SourceForge repository van het project, en niet in de Webmin GitHub opslagplaatsen.

Cooper benadrukte ook dat de getroffen wachtwoord verval functie niet standaard is ingeschakeld voor Webmin accounts, wat betekent dat de meeste versies niet kwetsbaar zijn in hun standaardconfiguratie en het probleem alleen van invloed is op Webmin beheerders die deze functie handmatig hebben ingeschakeld.

“Om de schadelijke code te misbruiken, moet uw Webmin-installatie Webmin → Webmin-configuratie → Verificatie → Wachtwoord verval beleid hebben ingesteld op Gebruikers met verlopen wachtwoorden vragen een nieuwe in te voeren. Deze optie is niet standaard ingesteld, maar als deze is ingesteld, staat uitvoering van externe code toe”, zei Cooper.

Een andere beveiligingsonderzoeker op Twitter heeft later echter onthuld dat Webmin-versie 1.890 wordt beïnvloed in de standaardconfiguratie, omdat de hackers de broncode lijken te hebben aangepast om standaard de functie voor het verlopen van wachtwoorden in te schakelen voor alle Webmin gebruikers.

Deze ongewone wijzigingen in de Webmin broncode werden eind vorig jaar door een beheerder opnieuw gemarkeerd, maar verrassend genoeg hebben Webmin ontwikkelaars nooit realiseert dat het hun fout was, maar de code is opzettelijk door iemand anders gewijzigd.

Volgens een Shodan zoekopdracht heeft Webmin op het moment van schrijven meer dan 218.000 aan internet blootgestelde exemplaren beschikbaar, meestal in de Verenigde Staten, Frankrijk en Duitsland waarvan meer dan 13.000 instanties kwetsbare Webmin versie 1.890 uitvoeren.

Webmin ontwikkelaars hebben nu de kwaadaardige achterdeur in de software verwijderd om het beveiligingslek te verhelpen en de schone versies, Webmin 1.930 en Usermin versie 1.780 vrijgegeven.

De nieuwste Webmin en Usermin releases verhelpen ook een handvol XSS-kwetsbaarheden (cross site scripting) die op verantwoorde manier zijn onthuld door een andere beveiliging onderzoeker die is beloond met een premie.

Daarom wordt Webmin beheerders sterk aangeraden om hun pakketten zo snel potentieel bij te werken.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *