Scoperta Backdoor nel codice sorgente Webmin su SourceForge

26/08/2019

backdoor webmin

 

Nel corso delle attività di monitoraggio di fonti Osint, il CERT-PA è venuto a conoscenza di una backdoor presente in Webmin, la popolare applicazione utilizzata dagli amministratori di sistema per gestire sistemi remoti basati su Unix, come server Linux, FreeBSD o OpenBSD.

La backdoor consentirebbe a un utente malintenzionato di eseguire, da remoto, attacchi ai sistemi gestiti tramite Webmin ottenendo permessi di root e quindi la possibilità di reimpostare la password di amministrazione. Alla vulnerabilità è stato associato il CVE-2019-15107 .

Dettagli sulla vulnerabilità

La vulnerabilità è stata divulgata pubblicamente il 10 agosto scorso da un ricercatore turco nel corso dell’evento DefCon. Secondo il ricercatore, il difetto di sicurezza risiede nella pagina di reimpostazione della password e consente a un utente remoto, non autenticato, di eseguire comandi arbitrari con privilegi di root sui server interessati semplicemente aggiungendo un semplice pipe (“|”) nel campo della vecchia password tramite richieste di tipo POST.

 

La superficie di attacco è potenzialmente rilevante dal momento che oltre un milione di installazioni webmin sarebbero vulnerabili. Una query Shodan restituisce oltre 215.000 istanze Webmin pubbliche, che possono essere attaccate senza dover compromettere le reti interne o bypassare i firewall per raggiungere un’installazione Webmin.

Secondo uno degli sviluppatori Webmin, la vulnerabilità non è il risultato di un errore nel codice, ma “il codice dannoso iniettato nell’infrastruttura di build compromessa“. Il codice era presente solo nei pacchetti Webmin offerti per il download tramite SourceForge. Tuttavia, ciò non riduce l’impatto del problema, poiché il sito Web Webmin elenca i collegamenti SourceForge come URL di download ufficiali. Secondo il team Webmin, tutte le versioni tra 1.882 e 1.921 scaricate da Sourceforge contenevano il codice backdoor dannoso.

Conclusioni

Il CERT-PA consiglia di rimuovere l’eventuale installazione Webmin qualora riferibile alle versioni di cui sopra e procedere con l’installazione dell’ultima versione disponibile sul sito ufficiale.