黑客在Linux/Unix服务器的流行工具Webmin中植入了后门

取而代之的是，它被一个不知名的黑客秘密植入，他成功地在其构建基础设施的某个点上注入了一个后门；令人惊讶的是，这一点一直存在于Webmin的各个版本（1.882到1.921）中，并最终隐藏了一年多。

每年下载量超过300万次，网民是世界上最流行的基于web的开源应用程序之一，用于管理基于Unix的系统，如Linux、FreeBSD或OpenBSD服务器。

Webmin提供了一个简单的用户界面（UI），用于管理用户和组、数据库、绑定、Apache、Postfix、Sendmail、QMail、备份、防火墙、监控和警报等。
故事始于8月10日，土耳其研究人员Özkan Mustafa Akkuş在DefCon的Webmin上公开展示了一个零天远程代码执行漏洞，但没有事先通知受影响的项目维护人员。

该项目的开发人员之一乔·库珀（Joe Cooper）说：“我们没有收到预先通知，这对发现它的研究人员来说是不寻常和不道德的。但是，在这种情况下，我们只能尽快修复它”。

除了向公众披露该漏洞，Akkuş还针对该漏洞发布了一个Metasploit模块，旨在使用Metasploit框架自动化攻击。


该漏洞被追踪为CVE-2019-15107，是在一项安全功能中引入的，该功能旨在让Webmin管理员对其他用户的帐户强制执行密码过期策略。

据研究人员称，该安全漏洞存在于密码重置页面中，允许未经验证的远程攻击者在受影响的服务器上以root权限执行任意命令，只需通过POST请求在旧密码字段中添加一个简单的管道命令（“|”）。

库珀在今天发表的一篇博客文章中说，该团队仍在调查后门是如何以及何时引入的，但他确认，Webmin的官方下载仅在项目的SourceForge存储库中被后门软件包取代，而不是在Webmin的GitHub存储库中。

Cooper还强调，Webmin帐户默认情况下不会启用受影响的密码过期功能，这意味着大多数版本在其默认配置中不易受攻击，该漏洞只影响手动启用该功能的Webmin管理员。

库珀说：“要利用恶意代码进行攻击，您的Webmin安装必须设置Webmin→Webmin配置→身份验证→密码到期策略，以提示过期密码的用户输入新密码。默认情况下不设置此选项，但如果设置了此选项，则允许远程代码执行”。

然而，Twitter上的另一名安全研究人员后来透露，Webmin 1.890版在默认配置中受到影响，因为黑客似乎已经修改了源代码，以便在默认情况下为所有Webmin用户启用密码过期功能。


去年年底，一位管理员对Webmin源代码中的这些异常更改进行了警告，但令人惊讶的是，Webmin开发人员从未怀疑这不是他们的错误，而是其他人故意修改了代码。

根据Shodan搜索，在撰写本文时，Webmin有超过218000个暴露在互联网上的实例，主要位于美国、法国和德国；其中超过13000个实例正在运行易受攻击的Webmin 1.890版。
Webmin开发者现在已经移除了其软件中的恶意后门，以解决该漏洞，并发布了干净的版本Webmin 1.930和Usermin 1.780。

最新的Webmin和Usermin版本还解决了几个跨站点脚本（XSS）漏洞，这些漏洞是由另一位获得赏金的安全研究人员负责披露的。

因此，强烈建议Webmin管理员尽快更新其软件包。