Software::Web
Hintertür in Webmin geschlossen
Die Versionen 1.890, 1.900 und 1.920 der webbasierten Administrationsanwendung Webmin enthielten Hintertüren, die es einem Angreifer erlaubten, Code als Root auszuführen.
Pro-Linux
Webmin ist eine seit 1997 entwickelte, in Perl geschriebene webbasierte Administrationsoberfläche, mit der aus einem Browser grafisch auf entfernte Rechner zugegriffen werden kann. Als Web-Interface nutzt Webmin einen eigenen kleinen Webserver, der es dem Tool ermöglicht, auch bei einer eventuellen Fehlkonfiguration der zu administrierenden Serversoftware noch zugänglich zu sein.
Webmin 1.890 wurde im April 2018 mit einer Hintertür veröffentlicht, die es jedem mit Kenntnis von deren Existenz ermöglichte, Befehle als Root auszuführen. Dazu hatte ein Angreifer auf dem Build-Server eine Lücke im Skript zum Ändern des Passworts eingebaut und das mit dem Zurücksetzen des Zeitstempels vertuscht. Die Datei mit der Hintertür wurde aber in der Folge mit einer neuen Version von GitHub überschrieben. Irgendwann im Juli 2018 wurde die Datei vom Angreifer erneut geändert. Diesmal wurde die Hintertür jedoch in einem Code versteckt, der nur ausgeführt wird, wenn in der Konfiguration das Ändern von abgelaufenen Passwörtern aktiviert ist. Die neue Lücke wurde mit Webmin 1.900 veröffentlicht.
Im September 2018 wurde der verwundbare Build-Server aus der Infrastruktur entfernt und durch einen neu installierten Server mit CentOS 7 ersetzt. Das Build-Verzeichnis mit der geänderten Datei wurde jedoch aus Backups auf dem ursprünglichen Server auf den neuen Server kopiert. Fast ein Jahr später, im August 2019, wurden die Webmin-Entwickler über eine Zero-Day-Lücke zu der Hintertür informiert. Daraufhin wurde der Schadcode entfernt und Version 1.930 veröffentlicht.
Um ähnliche Vorfälle künftig zu verhindern, haben die Entwickler einige Vorsichtsmaßnahmen ergriffen. So wird die Aktualisierung des Build-Prozesses nur noch über Code von Github vorgenommen und nicht mehr über ein synchron gehaltenes lokales Verzeichnis.
Alle Passwörter und Schlüssel, die vom alten Build-System aus zugänglich waren, wurden geändert. Zudem werden alle Github-Einträge des letzten Jahres einem Audit unterzogen, um nach Commits zu suchen, die ähnliche Schwachstellen verursacht haben könnten.
){kind=small}
