Após a revelação pública de uma vulnerabilidade crítica de zero-day no Webmin na semana passada, os mantenedores do projeto revelaram hoje que a falha não foi realmente o resultado de um erro de codificação cometido pelos programadores.
Em vez disso, foi secretamente plantado por um hacker desconhecido que conseguiu injetar um backdoor em algum ponto de sua infraestrutura de construção - que surpreendentemente persistiu em vários lançamentos do Webmin (1.882 até 1.921) e permaneceu oculto por mais de um ano.
Com mais de 3 milhões de downloads por ano, o Webmin é um dos aplicativos baseados na Web de código aberto mais populares do mundo para gerenciar sistemas baseados em Unix, como servidores Linux, FreeBSD ou OpenBSD.
O Webmin oferece uma interface de usuário simples para gerenciar usuários e grupos, bancos de dados, BIND, Apache, Postfix, Sendmail, QMail, backups, firewalls, monitoramento e alertas, e muito mais.
A história começou quando o pesquisador turco Özkan Mustafa Akkuş apresentou publicamente uma vulnerabilidade de execução remota de código de zero-day no Webmin na DefCon em 10 de agosto, sem dar qualquer aviso prévio aos mantenedores do projeto afetado.
A vulnerabilidade, foi identificada com o CVE-2019-15107, foi introduzida em um recurso de segurança que foi projetado para permitir que o administrador do Webmin imponha uma política de expiração de senha para as contas de outros usuários.
Segundo o pesquisador, a falha de segurança reside na página de redefinição de senha e permite que um invasor remoto, não autenticado, execute comandos arbitrários com privilégios de root em servidores afetados apenas adicionando um comando pipe simples ("|") no campo de senha antiga por meio do POST.
Nenhum comentário:
Postar um comentário