Remote Code Execution: Doppelte Hintertür in Webmin

In der Systemkonfigurationssoftware Webmin waren offenbar für über ein Jahr Hintertüren, mit denen sich übers Netz Code ausführen lässt. Den Angreifern gelang es dabei offenbar, die Release-Dateien des Projekts zu manipulieren.

Artikel veröffentlicht am ,
Eingang durch die Hintertür? Offenbar gelang es Angreifern zweimal, Backdoor-Code in der Software Webmin unterzubringen.
Eingang durch die Hintertür? Offenbar gelang es Angreifern zweimal, Backdoor-Code in der Software Webmin unterzubringen. (Bild: Pixabay)

Eine von Angreifern eingefügte Hintertür gefährdet Nutzer der Software Webmin. Der Schadcode wurde in die Release-Archive auf Sourceforge eingefügt. Der unbekannte Angreifer muss dabei über einen längeren Zeitraum die Möglichkeit gehabt haben, den Release-Prozess zu beeinflussen: In unterschiedlichen Versionen der Software sind verschiedene Varianten von Hintertüren.

Webmin ist eine unter einer BSD-Lizenz veröffentlichte freie Software, mit der man auf Unix-Systemen die Konfiguration des Betriebssystems über ein Webinterface vornehmen kann. Die Software ist in Perl geschrieben.

Fehlerhafte Infos auf der Def Con veröffentlicht

Informationen über die Sicherheitslücke wurden zunächst auf der Def-Con-Konferenz veröffentlicht. Ein dazugehöriger Blogpost enthält allerdings einige Irrtümer. Der Code, der im Blogpost gezeigt und als angeblich unsicher bezeichnet wird, ist völlig in Ordnung. Der gezeigte Exploitcode funktioniert aber, da er die Backdoor auslöst. Eine Diskussion darüber findet man auf Reddit.

Die eingefügten Sicherheitslücken finden sich in der Funktion zum Ändern des Passworts. Wir haben die Hintertüren mit Hilfe des IT-Sicherheitsexperten Roman Mueller in einer lokalen Installation analysiert. Dabei zeigte sich, dass je nach Version von Webmin zwei verschiedene Hintertüren vorhanden sind.

In Version 1.900 und höher ruft der verwundbare Perl-Code die Funktion qx auf und übergibt als Parameter die Variable für das alte Passwort, die schlicht "old" heißt. Diese Funktion führt die übergebene Variable als Shell-Code aus. Aufgerufen wird dieser Code allerdings nur, wenn Webmin so konfiguriert ist, dass Nutzer ihre Passwörter ändern können.

In der älteren Version 1.890 wird ebenfalls qx aufgerufen, allerdings mit einer anderen Variablen ("expired"). Zudem funktioniert die Hintertür dort auch in der Standardkonfiguration, da der Code früher aufgerufen wird.

Beide Hintertüren sind nicht im Github-Repository von Webmin zu finden. Nur die Release-Tarballs, die das Projekt auf Sourceforge veröffentlicht, sind kompromittiert. Mitarbeiter von Sourceforge haben jedoch erklärt, dass sie den Vorfall analysiert haben und dass die kompromittierten Dateien genau die sind, die vom Projekt hochgeladen wurden.

Die erste Hintertür führte zu Bugreports, aber niemand erkannte die Brisanz

Dass etwas mit dem Code nicht stimmte, hatte ein Nutzer von Webmin bereits vor einem Jahr bemerkt. Ein Fehlerbericht auf Github deutet darauf hin, dass der eingefügte Code in manchen Situationen zu unerklärlichen Fehlermeldungen führte. Dort wird auch erwähnt, dass sich der Code im Release von Webmin von dem im Github-Repository unterscheidet. Doch offenbar erkannte niemand die Brisanz dieser Information.

Inzwischen hat Webmin eine Stellungnahme veröffentlicht und neue Versionen mit den Versionsnummern 1.930 und 1.780 veröffentlicht. Darin kritisieren die Webmin-Entwickler, dass Informationen über die Sicherheitslücke einfach veröffentlicht wurden, ohne vorab mit ihnen Kontakt aufzunehmen. Neben der entfernten Hintertür sind in den neuen Versionen auch einige Cross-Site-Scripting-Sicherheitslücken geschlossen worden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


vollstorno 21. Aug 2019

Woher kommt die Falschinformation zur Wartung? Siehe hier: github_dot_com/webmin/webmin...

Apollo13 20. Aug 2019

Naja, wenn ich das ganze in ein entsprechend gesichertes VLAN packe, welches nur...

HeroFeat 20. Aug 2019

Aber es ist eben doch aufgefallen. Aber das die Maintainer auf die vor einem Jahr...

HeroFeat 20. Aug 2019

Also, früher habe ich auch mal Webmin eingesetzt, da ich die Konfiguration des Webservers...



Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /