后门在Webmin中找到 Webmin是一种用于管理Unix服务器的流行的基于Web的实用程序

在Webmin中发现了一种后门机制，Webmin是一种流行的基于Web的应用程序，系统管理员使用它来管理基于Unix的远程系统，如Linux，FreeBSD或OpenBSD服务器。

后门机制允许远程攻击者在运行Webmin的计算机上以root权限执行恶意命令。一旦该计算机受到攻击，攻击者就可以使用它来对通过Webmin管理的系统发起攻击。

超过一百万的WEBMIN安装很容易受到攻击

攻击面很大 - 没有考虑通过Webmin管理的机器。在其GitHub页面上，Webmin团队声称他们的应用程序“在全球范围内安装了超过1,000,000个”。Shodan搜索查询返回超过215,000个公共Webmin实例，这些实例可以在不需要破坏内部网络或绕过防火墙到达Webmin安装的情况下受到攻击。

该项目本身在Linux系统管理员中非常受欢迎，因为它为日常工作带来了便利。系统管理员可以在服务器上安装Webmin，然后使用他们的Web浏览器对远程Unix系统进行修改。

这些修改不仅仅是基本磁盘配额更新以及启动或停止几个守护进程的能力。Webmin可以允许系统管理员修改操作系统设置和内部，创建新用户，甚至更新在远程系统上运行的应用程序的配置，例如Apache，BIND，MySQL，PHP，Exim等等。

该项目在Linux生态系统中非常庞大，并配备了100多个模块，可扩展其核心功能，支持所有主要发行版，以及Virtualmin和Usermin等拍摄项目。

如何找到WEBMIN后门

然而，尽管它很受欢迎，但Webmin代码中的后门仍然隐藏在项目的源代码中超过一年。

在此之前，土耳其的安全研究员ÖzkanMustafaAkkuş发现了他最初被标记为Webmin源代码中的漏洞的迹象。

该漏洞允许未经身份验证的攻击者在运行Webmin应用程序的服务器上运行代码。

该漏洞的漏洞ID为CVE-2019-15107，Akkuş 在本月初在拉斯维加斯举行的DEF CON 27安全会议上向AppSec Village展示了他的发现。

然而，在这样一个备受瞩目的会议上，其他安全研究人员也开始深入研究一个非常流行的Linux实用程序中看似非常危险的安全漏洞。

这种额外挖掘导致周末发现新信息。

WEBMIN指责“受损的构建基础架构”

根据Webmin开发人员的说法，该漏洞不是编码错误的结果，而是实际上是“ 恶意代码注入到受损的构建基础架构中”。

该代码仅存在于通过SourceForge下载的Webmin软件包中，但不存在于GitHub中。但是，这并不会减少此问题的影响，因为Webmin网站将SourceForge链接列为官方下载URL。

Webmin团队也没有说明“受损构建基础架构”是指创建代码的受感染开发人员计算机，还是受到攻击的SourceForge帐户，黑客可能曾使用该帐户在SourceForge上上传自己的恶意Webmin版本。

就其本身而言，Sourceforce通过其总裁的声音说，黑客没有利用平台中的任何漏洞，并且SourceForge只托管了项目管理员通过他们的帐户上传的内容。

默认情况下，WEBMIN安装不易受攻击

根据Akkuş的初步技术分析，该漏洞存在于Webmin功能中，允许Webmin管理员为Webmin基于Web的帐户强制实施密码过期策略。

如果启用了此Webmin功能，则攻击者可以通过使用“|”附加shell命令来使用它来接管Webmin安装 发送到Webmin服务器的HTTP请求中的字符。

根据Webmin团队的说法，从Sourceforge下载的1.882到1.921之间的所有版本都包含恶意后门代码。

Webmin版本1.930于8月18日发布，旨在删除后门机制。这也意味着自2018年3月以来，后门Webmin版本被下载了数十万次超过一年。

好消息是，默认安装的Webmin没有默认启用密码过期功能。Webmin管理员必须对Webmin配置文件进行修改，以便为Webmin帐户启用密码过期功能，这意味着大多数Webmin安装很可能不会受到攻击。

坏消息是，负责破坏Webmin构建基础架构的黑客似乎试图改变Webmin 1.890中密码过期功能的默认状态，当默认为所有Webmin用户启用此功能时。

但是，修改很草率，并且导致一些用户出错，他们向Webmin管理员报告了该问题，然后他们在下一个版本中恢复到之前的默认状态。

“无论哪种方式，强烈建议升级到1.930版本，”Webmin团队在昨天发布的一份安全公告中表示。