webmin

Webmin: Des portes dérobées implantées par des pirates

Suite à la divulgation d’une faille zero-day dans Webmin la semaine dernière, les développeurs du projet ont révélé que la faille n’était pas le résultat d’une erreur de code faite par les programmeurs.

Ils ont découvert qu’un pirate avait réussi à injecter une porte dérobée à un certain moment dans l’infrastructure. Cette porte dérobée a persisté dans plusieurs versions de Webmin (1.882 à 1.921) et est éventuellement resté caché pendant plus d’un an.

Avec plus de 3 millions de téléchargements par, Webmin est l’une des applications web les plus populaires pour gérer les systèmes Unix, y compris les serveurs Linux, FreeBSD, ou OpenBSD.

Le logiciel offre une interface d’utilisateur simple pour gérer les utilisateurs et les groupes, les bases de données, BIND, Apache, Postfix, Sendmail, QMail, les sauvegardes, les pare-feux, les alertes, et bien plus.

Tout a commencé quand un chercheur Turc, Özkan Mustafa Akkuş, a publiquement présenté une vulnérabilité de code d’exécution à distance dans Webmin lors de la DefCon le 10 Août, sans même prévenir les développeurs du projet.

“Nous n’avons pas été prévenu, ce qui est inhabituel et pas très éthique de la part du chercheur qui l’a découvert. Mais, dans ce genre de cas il n’y a pas grand chose à faire à part réparer le problème le plus tôt possible,” a déclaré Joe Cooper, l’un des développeurs du projet.

En plus de révéler la faille au public, Akkuş a aussi partagé un module Metasploit pour cette vulnérabilité qui automatise l’exploitation en utilisant la framework de Metasploit.

webmin

La vulnérabilité, CVE-2019-15107, se trouve dans une fonctionnalité de sécurité qui a été conçu pour permettre à un administrateur de Webmin d’imposer une politique d’expiration de mot de passe pour les comptes d’autres utilisateurs.

Selon le chercheur, la faille de sécurité se trouve dans la page de reset de mot de passe et permet à un individu non-authentifié d’exécuter des commandes arbitraires à distance avec des privilèges root sur des serveurs affectés en ajoutant une simple commande pipe (“|”) dans le champ de l’ancien mot de passe via des requêtes POST.

Dans un article publié cette semaine, Cooper a révélé que son équipe enquête toujours pour savoir “comment” et “quand” la porte dérobée a été introduite. Il a confirmé que les fichiers Webmin disponibles au téléchargement dans le dépôt SourceForge ont été remplacé par des fichiers contenant des portes dérobées. Les fichiers présents dans le dépôt GitHub n’ont pas été affecté.

Cooper a aussi souligné que la fonctionnalité de mot de passe affecté n’est pas activé par défaut pour les comptes Webmin. La plupart des versions ne sont donc pas vulnérables dans leur configuration par défaut, la faille affecte seulement les administrateurs Webmin qui ont manuellement activé cette fonctionnalité.

Cependant, un autre chercheur en sécurité sur Twitter a révélé que la version 1.890 de Webmin est affecté dans sa configuration par défaut. Il semblerait que les pirates aient modifié le code source pour activer la fonctionnalité d’expiration de mot de passe par défaut pour tout les utilisateurs de Webmin.

webmin exploit hacking

Ces changements étranges dans le code source de Webmin ont été signalé par un administrateur en fin d’année 2018. Les développeurs de Webmin ne se sont pas rendu compte que ce n’était pas une erreur interne mais que le code avait été modifié par quelqu’un d’autre intentionnellement.

Selon une recherche Shodan, plus de 218 000 systèmes utilisent Webmin, la plupart se trouve aux Etats-Unis, en France et en Allemagne. Parmi ces systèmes, 13 000 utilisent la version 1.890 de Webmin.

shodan webmin

Les développeurs de Webmin ont réglé le problème

Les développeurs ont supprimé la porte dérobée dans leur logiciel. Ils se sont ensuite débarrasser de la vulnérabilité en distribuant des versions propres de Webmin 1.930 et Usermin 1.780.

Les dernières versions adressent aussi des vulnérabilités cross-site scripting (XSS) qui ont été divulgué par un autre chercheur en sécurité qui a été récompensé avec une prime.

Il est donc recommandé aux administrateurs Webmin de mettre à jour leur logiciel le plus vite possible.

Si cet article vous a plu, jetez un œil à notre précédent article concernant une faille liée à Linux.

Poster un Commentaire

avatar
  S’abonner  
Notifier de