Kompromitteret build-server brugt til installation af bagdør i Webmin

Illustration: Beebright/Bigstock
Administrationsværktøjet Webmin har gennem mere end et år indeholdt en bagdørs-funktion.

Hvis du bruger administrationsværktøjet Webmin og det relaterede Usermin, så er det nok en god idé at tjekke, at du har de seneste versioner af programmerne. Det er i skrivende stund version 1.930 for Webmins vedkommende, og 1.780 hvad angår Usermin.

Henover weekenden er softwaren blevet patched, da programmerne har vist sig at indeholde en sårbarhed, som kan gøre det muligt for en angriber af eksekvere kode på et system.

Sårbarheden lader til at være bevidst plantet via en kompromitteret build-server.

Det fremgår af en artikel hos The Register, som blandt andet henviser til et blogindlæg fra en af webmin-udviklerne, Joe Cooper.

Webmin bruges til administration af Unix-lignende systemer via en webgrænseflade.

Version 1.882 til version 1.920 af Webmin indeholder sårbarheden. I de fleste af disse versioner kan et angreb dog kun gennemføres, såfremt en indstilling, der ikke er slået til som standard, er aktiveret i programmet.

I blogindlægget forklarer Cooper, at Webmin-installationen skal være sat op til at bede brugere indtaste et nyt kodeord, såfremt deres gamle kodeord er udløbet.

Webmin version 1.890 er særlig slem

Og funktion er som standard ikke aktiveret, dog med undtagelse af Webmin version 1.890. Her er funktionen på atypisk vis slået til som standard.

Softwaren har umiddelbart været sårbar gennem længere tid. I hvert fald fremgår det af denne liste over Webmin-udgivelser, at den særligt sårbare version 1.890 blev frigivet i juli 2018. Altså for over et år siden.

Copper fortæller videre, at Webmin-folkene ikke kendte til sårbarheden før lørdag 17. august. Her blev sårbarheden blandt andet diskuteret på Reddit.

»We received no advance notification of it, which is unusual and unethical on the part of the researcher who discovered it. But, in such cases there's nothing we can do but fix it ASAP,« fortæller Cooper i blogindlægget.

Ifølge The Register ser sårbarheden ud til at være blevet offentliggjort en uge tidligere, lørdag 10. august, af Özkan Mustafa Akkuş i forbindelse med sikkerhedstræffet Def Con.

En kig på sårbarheds-søgeren Shodan.io viser ifølge The Register omkring 215.000 Webmin-installationer, og ca. 13.000 instanser af den særligt sårbare version 1.890.

Bevidst plantet bagdør

Forløbet i forhold til, hvordan sårbarheden har fundet vej ind i Webmin-koden, skyldes et angreb og ikke en kodefejl. Sårbarheden har ikke været at finde i koden på Webmins Github-repository.

Cooper oplyser, at sårbarheden er kommet ind i softwaren via ondsindet kode indsat i build-infrastrukturen bag Webmin.

I en mail til The Register fortæller Cooper, at det er hans forståelse, at den ondsindede kode har fundet vej ind i en lokal build-server, som har befundet sig hjemme hos projektets hovedforfatter Jamie Cameron.

Denne server er i mellemtiden blevet lukket ned, og det er derfor småt med spor i forhold til angrebet.

Selvom den pågældende build-server ifølge Cooper blev pillet ned for nogle måneder siden, så var flere mapper via en backup blevet kopieret over på et nyt build-system. Og i den forbindelse kom sårbarheden også med.

Log-filer er væk

The Register har modtaget en mail fra Cameron, hovedforfatter på Webmin, hvor han blandt andet oplyser, at det ikke er muligt at fastslå, hvordan kompromitteringen af build-serveren har fundet sted, da den pågældende server er taget ud af drift, og logfilerne er borte.

»Unfortunately the file with the vulnerability inserted was migrated to a new machine, so it persisted into later releases – even though the build had been moved to a new and more secure environment,« oplyser Cameron til The Register.

Han forklarer videre, at al koden på GitHub er blevet sammenlignet med koden i build-systemet for at tjekke, om der er skulle være andre skjulte sårbarheder. Det skulle ikke være tilfældet.

Derudover oplyser Cameron, at han planlægger at fortælle mere detaljeret om forløbet inden for de nærmeste par dage.

For en mere detaljeret gennemgang af forløbet og den konkrete sårbarhed, så læs artiklen hos The Register.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere