Abo
  • IT-Karriere:

Remote Code Execution: Doppelte Hintertür in Webmin

In der Systemkonfigurationssoftware Webmin waren offenbar für über ein Jahr Hintertüren, mit denen sich übers Netz Code ausführen lässt. Den Angreifern gelang es dabei offenbar, die Release-Dateien des Projekts zu manipulieren.

Artikel veröffentlicht am ,
Eingang durch die Hintertür? Offenbar gelang es Angreifern zweimal, Backdoor-Code in der Software Webmin unterzubringen.
Eingang durch die Hintertür? Offenbar gelang es Angreifern zweimal, Backdoor-Code in der Software Webmin unterzubringen. (Bild: Pixabay)

Eine von Angreifern eingefügte Hintertür gefährdet Nutzer der Software Webmin. Der Schadcode wurde in die Release-Archive auf Sourceforge eingefügt. Der unbekannte Angreifer muss dabei über einen längeren Zeitraum die Möglichkeit gehabt haben, den Release-Prozess zu beeinflussen: In unterschiedlichen Versionen der Software sind verschiedene Varianten von Hintertüren.

Stellenmarkt
  1. SSP Deutschland GmbH, Frankfurt
  2. Bechtle Onsite Services GmbH, Stuttgart

Webmin ist eine unter einer BSD-Lizenz veröffentlichte freie Software, mit der man auf Unix-Systemen die Konfiguration des Betriebssystems über ein Webinterface vornehmen kann. Die Software ist in Perl geschrieben.

Fehlerhafte Infos auf der Def Con veröffentlicht

Informationen über die Sicherheitslücke wurden zunächst auf der Def-Con-Konferenz veröffentlicht. Ein dazugehöriger Blogpost enthält allerdings einige Irrtümer. Der Code, der im Blogpost gezeigt und als angeblich unsicher bezeichnet wird, ist völlig in Ordnung. Der gezeigte Exploitcode funktioniert aber, da er die Backdoor auslöst. Eine Diskussion darüber findet man auf Reddit.

Die eingefügten Sicherheitslücken finden sich in der Funktion zum Ändern des Passworts. Wir haben die Hintertüren mit Hilfe des IT-Sicherheitsexperten Roman Mueller in einer lokalen Installation analysiert. Dabei zeigte sich, dass je nach Version von Webmin zwei verschiedene Hintertüren vorhanden sind.

In Version 1.900 und höher ruft der verwundbare Perl-Code die Funktion qx auf und übergibt als Parameter die Variable für das alte Passwort, die schlicht "old" heißt. Diese Funktion führt die übergebene Variable als Shell-Code aus. Aufgerufen wird dieser Code allerdings nur, wenn Webmin so konfiguriert ist, dass Nutzer ihre Passwörter ändern können.

In der älteren Version 1.890 wird ebenfalls qx aufgerufen, allerdings mit einer anderen Variablen ("expired"). Zudem funktioniert die Hintertür dort auch in der Standardkonfiguration, da der Code früher aufgerufen wird.

Beide Hintertüren sind nicht im Github-Repository von Webmin zu finden. Nur die Release-Tarballs, die das Projekt auf Sourceforge veröffentlicht, sind kompromittiert. Mitarbeiter von Sourceforge haben jedoch erklärt, dass sie den Vorfall analysiert haben und dass die kompromittierten Dateien genau die sind, die vom Projekt hochgeladen wurden.

Die erste Hintertür führte zu Bugreports, aber niemand erkannte die Brisanz

Dass etwas mit dem Code nicht stimmte, hatte ein Nutzer von Webmin bereits vor einem Jahr bemerkt. Ein Fehlerbericht auf Github deutet darauf hin, dass der eingefügte Code in manchen Situationen zu unerklärlichen Fehlermeldungen führte. Dort wird auch erwähnt, dass sich der Code im Release von Webmin von dem im Github-Repository unterscheidet. Doch offenbar erkannte niemand die Brisanz dieser Information.

Inzwischen hat Webmin eine Stellungnahme veröffentlicht und neue Versionen mit den Versionsnummern 1.930 und 1.780 veröffentlicht. Darin kritisieren die Webmin-Entwickler, dass Informationen über die Sicherheitslücke einfach veröffentlicht wurden, ohne vorab mit ihnen Kontakt aufzunehmen. Neben der entfernten Hintertür sind in den neuen Versionen auch einige Cross-Site-Scripting-Sicherheitslücken geschlossen worden.



Anzeige
Spiele-Angebote
  1. (-12%) 52,99€
  2. 4,19€
  3. 3,99€
  4. 229,00€

vollstorno 21. Aug 2019 / Themenstart

Woher kommt die Falschinformation zur Wartung? Siehe hier: github_dot_com/webmin/webmin...

Apollo13 20. Aug 2019 / Themenstart

Naja, wenn ich das ganze in ein entsprechend gesichertes VLAN packe, welches nur...

HeroFeat 20. Aug 2019 / Themenstart

Aber es ist eben doch aufgefallen. Aber das die Maintainer auf die vor einem Jahr...

HeroFeat 20. Aug 2019 / Themenstart

Also, früher habe ich auch mal Webmin eingesetzt, da ich die Konfiguration des Webservers...

Kommentieren


Folgen Sie uns
       


Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019)

Der transparente OLED-Fernseher von Panasonic rückt immer näher. Auf der Ifa 2019 steht ein Prototyp, der schon jetzt Einrichtungsideen in den Kopf ruft.

Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019) Video aufrufen
Serielle Hybride: Unterschätzte Zwischenlösung oder längst überholt?
Serielle Hybride
Unterschätzte Zwischenlösung oder längst überholt?

Die reine E-Mobilität kommt nicht so schnell voran, wie es Klimaziele und Luftreinhaltepläne erfordern. Doch viele Fahrzeughersteller stellen derweil eine vergleichsweise simple Technologie auf die Räder, die für eine Zukunft ohne fossile Kraftstoffe Erkenntnisse liefern kann.
Von Mattias Schlenker

  1. ADAC Keyless-Go bietet Autofahrern keine Sicherheit
  2. Gesetzentwurf beschlossen Regierung verlängert Steuervorteile für Elektroautos
  3. Cabrio Renault R4 Plein Air als Elektro-Retroauto

Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
Apple TV+
Apples Videostreamingdienst ist nicht konkurrenzfähig

Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
Eine Analyse von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
  3. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

    •  /