Sau khi tiết lộ công khai lỗ hổng zero-day nghiêm trọng trong Webmin vào tuần trước, những người bảo trì dự án hôm nay đã tiết lộ rằng lỗ hổng này thực sự không phải là kết quả của lỗi mã hóa do các lập trình viên thực hiện.
Thay vào đó, nó đã được bí mật cài đặt bởi một tin tặc vô danh, người đã thành công trong việc đưa vào một cửa hậu tại một số điểm trong cơ sở hạ tầng xây dựng của nó—điều đáng ngạc nhiên là cửa hậu này vẫn tồn tại trong các bản phát hành khác nhau của Webmin (1.882 đến 1.921) và cuối cùng vẫn bị ẩn trong hơn một năm.
Với hơn 3 triệu lượt tải xuống mỗi năm, webmin là một trong những ứng dụng dựa trên web nguồn mở phổ biến nhất thế giới để quản lý các hệ thống dựa trên Unix, chẳng hạn như máy chủ Linux, FreeBSD hoặc OpenBSD.
Webmin cung cấp giao diện người dùng (UI) đơn giản để quản lý người dùng và nhóm, cơ sở dữ liệu, BIND, Apache, Postfix, Sendmail, QMail, sao lưu, tường lửa, giám sát và cảnh báo, v.v.
Câu chuyện bắt đầu khi nhà nghiên cứu Thổ Nhĩ Kỳ Özkan Mustafa Akkuş trình bày công khai lỗ hổng thực thi mã từ xa zero-day trong Webmin tại DefCon vào ngày 10 tháng 8 mà không đưa ra bất kỳ thông báo trước nào cho những người bảo trì dự án bị ảnh hưởng.
Joe Cooper, một trong những nhà phát triển của dự án cho biết: “Chúng tôi không nhận được thông báo trước về nó, điều này là bất thường và phi đạo đức đối với nhà nghiên cứu đã phát hiện ra nó. Tuy nhiên, trong những trường hợp như vậy, chúng tôi không thể làm gì ngoài việc khắc phục nó càng sớm càng tốt”.
Bên cạnh việc tiết lộ lỗ hổng cho công chúng, Akkuş cũng đã phát hành một mô-đun Metasploit cho lỗ hổng này nhằm mục đích tự động hóa việc khai thác bằng khung Metasploit.
Lỗ hổng, được theo dõi là CVE-2019-15107, được giới thiệu trong một tính năng bảo mật được thiết kế để cho phép quản trị viên Webmin thực thi chính sách hết hạn mật khẩu cho tài khoản của người dùng khác.
Theo nhà nghiên cứu, lỗ hổng bảo mật nằm trong trang đặt lại mật khẩu và cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh tùy ý với quyền root trên các máy chủ bị ảnh hưởng chỉ bằng cách thêm một lệnh ống đơn giản (“|”) vào trường mật khẩu cũ thông qua POST yêu cầu.
Trong một bài đăng trên blog được xuất bản hôm nay, Cooper nói rằng nhóm vẫn đang điều tra cách thức và thời điểm cửa hậu được giới thiệu, nhưng xác nhận rằng các bản tải xuống Webmin chính thức được thay thế bằng các gói cửa hậu chỉ trên kho lưu trữ SourceForge của dự án chứ không phải trên kho lưu trữ GitHub của Webmin .
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Cooper cũng nhấn mạnh rằng tính năng hết hạn mật khẩu bị ảnh hưởng không được bật theo mặc định cho tài khoản Webmin, điều đó có nghĩa là hầu hết các phiên bản không dễ bị tổn thương trong cấu hình mặc định của chúng và lỗ hổng chỉ ảnh hưởng đến quản trị viên Webmin đã bật tính năng này theo cách thủ công.
“Để khai thác mã độc, cài đặt Webmin của bạn phải có Webmin → Cấu hình Webmin → Xác thực → Chính sách hết hạn mật khẩu được đặt thành Nhắc người dùng có mật khẩu hết hạn nhập mật khẩu mới. Tùy chọn này không được đặt theo mặc định, nhưng nếu nó được đặt, nó sẽ cho phép thực thi mã từ xa,” Cooper nói.
Tuy nhiên, một nhà nghiên cứu bảo mật khác trên Twitter sau đó tiết lộ rằng phiên bản Webmin 1.890 bị ảnh hưởng trong cấu hình mặc định, vì tin tặc dường như đã sửa đổi mã nguồn để bật tính năng hết hạn mật khẩu theo mặc định cho tất cả người dùng Webmin.
Những thay đổi bất thường này trong mã nguồn Webmin đã được một quản trị viên gắn cờ đỏ vào cuối năm ngoái, nhưng đáng ngạc nhiên là các nhà phát triển Webmin không bao giờ nghi ngờ rằng đó không phải là lỗi của họ, mà mã này thực sự đã bị người khác cố ý sửa đổi.
Theo tìm kiếm của Shodan, Webmin có hơn 218.000 phiên bản tiếp xúc với Internet tại thời điểm viết bài này, chủ yếu nằm ở Hoa Kỳ, Pháp và Đức—trong đó có hơn 13.000 phiên bản đang chạy phiên bản Webmin 1.890 dễ bị tấn công.
Các nhà phát triển Webmin hiện đã loại bỏ cửa hậu độc hại trong phần mềm của mình để giải quyết lỗ hổng và phát hành các phiên bản sạch, phiên bản Webmin 1.930 và Usermin 1.780.
Các bản phát hành Webmin và Usermin mới nhất cũng giải quyết một số lỗ hổng tập lệnh chéo trang (XSS) đã được tiết lộ một cách có trách nhiệm bởi một nhà nghiên cứu bảo mật khác, người đã được thưởng tiền thưởng.
Vì vậy, các quản trị viên Webmin được khuyến nghị cập nhật các gói của họ càng sớm càng tốt.
