Vulnerabilidade de Execução Remota de Código no Webmin. O Webmin, um aplicativo baseado na Web para administradores de sistema de sistemas baseados em Unix (servidores Linux, FreeBSD ou OpenBSD), contém um backdoor que pode permitir que atacantes remotos executem comandos maliciosos com privilégios de root. Um sistema comprometido pode mais tarde ser usado para navegar em mais ataques contra os sistemas gerenciados pelo Webmin.
O que é o Webmin?
O Webmin é uma interface baseada na Web para administração do sistema para o Unix. Usando qualquer navegador moderno, você pode configurar contas de usuário, Apache, DNS, compartilhamento de arquivos e muito mais. O Webmin elimina a necessidade de editar manualmente os arquivos de configuração do Unix, como o / etc / passwd, e permite gerenciar um sistema a partir do console ou remotamente, diz o site oficial.
O Webmin também permite que administradores de sistemas modifiquem configurações e internamente no nível do SO, criem novos usuários e atualizem as configurações de aplicativos executados em sistemas remotos, como Apache, BIND, MySQL, PHP, Exim . Por causa dessas conveniências e da importância geral do Webmin no ecossistema Linux, a ferramenta é usada por muitos administradores de sistemas, e a ameaça que ela representa é enorme.
Segundo o Sensor Tech Forum, são mais de 1.000.000 de instalações em todo o mundo que estão em risco. O Sensor Tech complementa afirmando que o Shodan mostra que existem cerca de 215 mil instâncias públicas do Webmin que estão abertas a ataques. Essas instâncias podem ser comprometidas sem a necessidade de acesso a redes internas ou ignorando firewalls.
Vulnerabilidade no Webmin CVE-2019-15107
A questão é decorrente de uma vulnerabilidade detectada pelo pesquisador de segurança Özkan Mustafa Akkuş, que encontrou uma brecha no código-fonte do Webmin. A falha permitiu que os agentes de ameaças não autenticados executassem o código nos servidores que executam o aplicativo.
A falha é agora conhecida como CVE-2019-15107. O pesquisador apresentou suas descobertas durante a AppSec Village na conferência de segurança do DEF CON 27 em Las Vegas no início do mês deste mês de agosto.
Após a apresentação de Akkuş, outros pesquisadores começaram a analisar mais profundamente o problema do CVE-2019-15107 e descobriram que é uma vulnerabilidade de grande impacto.
Um dos desenvolvedores do Webmin diz que a vulnerabilidade do CVE-2019-15107 não é resultado de um erro de codificação, mas sim de um código malicioso injetado na infra-estrutura de construção comprometida.
Além disso, esse código estava presente nos pacotes de download do Webmin no SourceForge e não no GitHub. Claro, esse fato não altera o impacto da vulnerabilidade – na verdade, o SourceForge está listado como o download oficial no site oficial do Webmin.
Mais informações são necessárias para esclarecer se a infraestrutura de criação comprometida está relacionada a um sistema comprometido do desenvolvedor que criou o código ou a uma conta comprometida no SourceForge. Essa conta pode ter sido usada por um invasor para fazer o upload de uma versão maliciosa do Webmin. De acordo com o SourceForge, o invasor não explorou nenhuma falha na plataforma. O SourceForge apenas hospedava o código carregado pelos administradores do projeto por meio de suas próprias contas.
Note que todas as versões do Webmin entre 1.882 e 1.921 que foram baixadas do SourceForge são vulneráveis. Webmin versão 1.930 foi lançado em 18 de agosto. De acordo com a assessoria oficial : “Os lançamentos do Webmin entre essas versões contêm uma vulnerabilidade que permite a execução remota de comandos! A versão 1.890 é vulnerável em uma instalação padrão e deve ser atualizada imediatamente – outras versões só são vulneráveis se a alteração de senhas expiradas estiver ativada, o que não é o caso por padrão.”
De qualquer maneira, a atualização para a versão 1.930 é altamente recomendável. Como alternativa, se estiver executando versões 1.900 a 1.920.
Recomendação
O site Webmin diz que para evitar ataques semelhantes no futuro, estamos fazendo o seguinte:
- Estão atualizando o processo de compilação para usar somente o código de check-in do Github, em vez de um diretório local que é mantido em sincronia.
- Estão rodando todas as senhas e chaves acessíveis a partir do sistema de compilação antigo.
- Estão auditando todos os checkins do Github no ano passado para procurar por commits que podem ter introduzido vulnerabilidades semelhantes.
Fonte: Webmin & Sensor Tech Forum
Veja também:
- CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
- CrowdStrike expande presença internacional para atender à crescente demanda do cliente
- Vulnerabilidade permite DoS no Servidor IIS Microsoft
- Adware, Trojans e backdoors ameaçam o setor de Educação
- Berghem traz ao Brasil novas soluções de cybersecurity
- Servidores JIRA mal configurados vazam informações sobre usuários e projetos
- 21 aplicativos antivírus Android apresentam sérias vulnerabilidades
- PWC Grécia recebe multa de €150Mil por violar GDPR
- Vazamento da Capital One é uma das maiores violações dos EUA
- 90% dos usuários do iPhone Enterprise expostos à iMessage Spy Attack
- SecOps ou DevSecOps – que bicho é este ? pra que serve?
- Microsoft lança patch para vulnerabilidade similar ao Spectre e Meltdown
- Falhas no chipset da Qualcomm expõem milhões de dispositivos Android à hackers
Deixe sua opinião!