Webmin后门归咎于对软件供应链的攻击

Talos  1950天前
潜伏了12个多月的微妙后门之谜

d821faadf118-article-190820-webmin-body-text.jpg

Webmin是一个基于Web的系统配置工具,现在它的后门问题已经被发现,从时间上看,不法分子在一年前就创建了这个后门。

后门为不法分子提供了一种可以直接接管运行Webmin工具的服务器的机制,从而危及安装相关恶意版本工具的操作系统。

在为用户提供的安全通知中,Webmin 的开发人员"强烈建议"将所有从 1.882 开始的版本全部升级到 1.921版本或更高版本,以应对新发现的远程代码执行(RCE)漏洞。

“这些版本之间的Webmin存在允许远程命令执行的可用性!版本1.890在默认安装中容易受到攻击,应该立即升级 - 如果启用了过期密码更改,则其他版本也会受到攻击,默认情况下不是这种情况。”开发人员说。

无论哪种版本,强烈建议升级到版本1.930。或者,如果运行版本1.900到1.920,请编辑/etc/webmin/miniserv.conf,删除passwd_mode =line,然后运行 /etc/webmin/restart。

土耳其安全研究员ÖzkanMustafaAkkuş 在本月早些时候在拉斯维加斯举行的DEF CON黑客大会上发表他的研究结果之前,发现了Webmin源代码中一个严重的缺陷。

随后对该漏洞(CVE-2019-15107)的深入研究表明,该漏洞是由于“恶意代码被注入到基础架构中”造成的问题,而不是开发人员自己引入的安全漏洞造成的。

因此,通过SourceForge提供的Webmin软件包遭到破坏。GitHub版本的代码被认为是没有问题的。

这意味着用于将 Webmin 代码上载到 SourceForge 的计算机都遭到破坏,或者不法分子侵入了 Webmin 的 SourceForge 帐户。

SourceForge总裁Logan Abbott试图通过公开表示,问题仅限于Webmin,来消除对更广泛问题的担忧。

他在推特上说:"SourceForge托管的打包版本与项目管理员上传的完全一样。我们已查看了情况,没有发现任何在 SourceForge 平台上发生篡改或更改的证据。看起来管理员在后续上传中删除了漏洞。"

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://portswigger.net/daily-swig/webmin-backdoor-blamed-on-software-supply-chain-breach

最新评论

昵称
邮箱
提交评论