Wie unlängst bekannt geworden ist, wurde in der Webmin Version 1.890 ein Backdoor gefunden, mit dem Befehle als root ausgeführt werden können – von dem jedem, der über diese Sicherheitslücke Bescheid weiß. Die Versionen 1.900 bis 1.920 enthielten ebenfalls eine Hintertür zum Server mit ähnlichem Code, welche in einer Standard-Webmin-Installation aber nicht ausgenutzt werden konnte.
Nur wenn der Administrator die Funktion unter Webmin -> Webmin-Konfiguration -> Authentifizierung aktiviert hat, um das Ändern abgelaufener Kennwörter zu ermöglichen, kann sie von einem Angreifer verwendet werden.
Backdoor wurde in den Webmin-Quellcode eingeschleust
Im April 2018 wurde der Build-Server für die Webmin-Entwicklung ausgenutzt und dem Skript password_change.cgi eine Sicherheitslücke hinzugefügt. Da der Zeitstempel für die Datei zurückgesetzt wurde, wurde er in keinem Git-Diff angezeigt. Dies war in der Version Webmin 1.890 enthalten.
Die gehackte Datei wurde von Github auf die eingecheckte Version zurückgesetzt, aber im Juli 2018 wurde die Datei vom Angreifer erneut geändert. Diesmal wurde der Exploit jedoch zu jedem Code hinzugefügt, der nur ausgeführt wird, wenn das Ändern abgelaufener Kennwörter aktiviert ist („Benutzer mit abgelaufenden Passwörtern immer zur Eingabe eines neuen Passwortes auffordern“). Dies war in der Webmin 1.900-Version enthalten.
Am 10. September 2018 wurde der gehackte Build-Server außer Betrieb genommen und durch einen neu installierten Server mit CentOS 7 ersetzt. Das Build-Verzeichnis mit der gehackten Datei wurde jedoch von Sicherungen kopiert, die auf dem ursprünglichen Server erstellt wurden.
0-day Webmin Exploit
Am 17. August 2019 wurde das Webmin-Team darüber informiert, dass ein 0-Tage-Exploit, der die Sicherheitslücke auf einem Webmin-Server ausnutzt, veröffentlicht wurde. Daraufhin wurde der Exploit-Code entfernt und Webmin auf die Version Version 1.930 aktualisiert.
Quelle: www.webmin.com, Foto: Screenshot