• IT-Karriere:
  • Services:

Remote Code Execution: Doppelte Hintertür in Webmin

In der Systemkonfigurationssoftware Webmin waren offenbar für über ein Jahr Hintertüren, mit denen sich übers Netz Code ausführen lässt. Den Angreifern gelang es dabei offenbar, die Release-Dateien des Projekts zu manipulieren.

Artikel veröffentlicht am ,
Eingang durch die Hintertür? Offenbar gelang es Angreifern zweimal, Backdoor-Code in der Software Webmin unterzubringen.
Eingang durch die Hintertür? Offenbar gelang es Angreifern zweimal, Backdoor-Code in der Software Webmin unterzubringen. (Bild: Pixabay)

Eine von Angreifern eingefügte Hintertür gefährdet Nutzer der Software Webmin. Der Schadcode wurde in die Release-Archive auf Sourceforge eingefügt. Der unbekannte Angreifer muss dabei über einen längeren Zeitraum die Möglichkeit gehabt haben, den Release-Prozess zu beeinflussen: In unterschiedlichen Versionen der Software sind verschiedene Varianten von Hintertüren.

Stellenmarkt
  1. Hectronic GmbH, Bonndorf im Schwarzwald
  2. Stadtwerke München GmbH, München

Webmin ist eine unter einer BSD-Lizenz veröffentlichte freie Software, mit der man auf Unix-Systemen die Konfiguration des Betriebssystems über ein Webinterface vornehmen kann. Die Software ist in Perl geschrieben.

Fehlerhafte Infos auf der Def Con veröffentlicht

Informationen über die Sicherheitslücke wurden zunächst auf der Def-Con-Konferenz veröffentlicht. Ein dazugehöriger Blogpost enthält allerdings einige Irrtümer. Der Code, der im Blogpost gezeigt und als angeblich unsicher bezeichnet wird, ist völlig in Ordnung. Der gezeigte Exploitcode funktioniert aber, da er die Backdoor auslöst. Eine Diskussion darüber findet man auf Reddit.

Die eingefügten Sicherheitslücken finden sich in der Funktion zum Ändern des Passworts. Wir haben die Hintertüren mit Hilfe des IT-Sicherheitsexperten Roman Mueller in einer lokalen Installation analysiert. Dabei zeigte sich, dass je nach Version von Webmin zwei verschiedene Hintertüren vorhanden sind.

In Version 1.900 und höher ruft der verwundbare Perl-Code die Funktion qx auf und übergibt als Parameter die Variable für das alte Passwort, die schlicht "old" heißt. Diese Funktion führt die übergebene Variable als Shell-Code aus. Aufgerufen wird dieser Code allerdings nur, wenn Webmin so konfiguriert ist, dass Nutzer ihre Passwörter ändern können.

In der älteren Version 1.890 wird ebenfalls qx aufgerufen, allerdings mit einer anderen Variablen ("expired"). Zudem funktioniert die Hintertür dort auch in der Standardkonfiguration, da der Code früher aufgerufen wird.

Beide Hintertüren sind nicht im Github-Repository von Webmin zu finden. Nur die Release-Tarballs, die das Projekt auf Sourceforge veröffentlicht, sind kompromittiert. Mitarbeiter von Sourceforge haben jedoch erklärt, dass sie den Vorfall analysiert haben und dass die kompromittierten Dateien genau die sind, die vom Projekt hochgeladen wurden.

Die erste Hintertür führte zu Bugreports, aber niemand erkannte die Brisanz

Dass etwas mit dem Code nicht stimmte, hatte ein Nutzer von Webmin bereits vor einem Jahr bemerkt. Ein Fehlerbericht auf Github deutet darauf hin, dass der eingefügte Code in manchen Situationen zu unerklärlichen Fehlermeldungen führte. Dort wird auch erwähnt, dass sich der Code im Release von Webmin von dem im Github-Repository unterscheidet. Doch offenbar erkannte niemand die Brisanz dieser Information.

Inzwischen hat Webmin eine Stellungnahme veröffentlicht und neue Versionen mit den Versionsnummern 1.930 und 1.780 veröffentlicht. Darin kritisieren die Webmin-Entwickler, dass Informationen über die Sicherheitslücke einfach veröffentlicht wurden, ohne vorab mit ihnen Kontakt aufzunehmen. Neben der entfernten Hintertür sind in den neuen Versionen auch einige Cross-Site-Scripting-Sicherheitslücken geschlossen worden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 39,99€
  2. (u. a. Anno 1800 ab 29,99€, Ghost Recon Breakpoint ab 19,80€, Rainbow Six Siege ab 8,00€)
  3. (-62%) 18,99€
  4. (-67%) 7,59€

vollstorno 21. Aug 2019

Woher kommt die Falschinformation zur Wartung? Siehe hier: github_dot_com/webmin/webmin...

Apollo13 20. Aug 2019

Naja, wenn ich das ganze in ein entsprechend gesichertes VLAN packe, welches nur...

HeroFeat 20. Aug 2019

Aber es ist eben doch aufgefallen. Aber das die Maintainer auf die vor einem Jahr...

HeroFeat 20. Aug 2019

Also, früher habe ich auch mal Webmin eingesetzt, da ich die Konfiguration des Webservers...


Folgen Sie uns
       


Mechwarrior 5 - 8 Minuten Gameplay

In Mechwarrior 5 setzen wir uns einmal mehr in einen tonnenschweren Kampfroboter und schmelzen die gegnerischen Metallungetüme. Zuvor rüsten wir unseren stampfenden Mech aber mit entsprechenden Waffen aus.

Mechwarrior 5 - 8 Minuten Gameplay Video aufrufen
Dell Ultrasharp UP3218K im Test: 8K ist es noch nicht wert
Dell Ultrasharp UP3218K im Test
8K ist es noch nicht wert

Alles fing so gut an: Der Dell Ultrasharp UP3218K hat ein schön gestochen scharfes 8K-Bild und einen erstklassigen Standfuß zu bieten. Dann kommen aber die Probleme, die beim Spiegelpanel anfangen und bis zum absurd hohen Preis reichen.
Von Oliver Nickel

  1. Dell Anleitung hilft beim Desinfizieren von Servern und Clients
  2. STG Partners Dell will RSA für 2 Milliarden US-Dollar verkaufen
  3. Concept Duet und Concept Ori Dells Dualscreen-Geräte machen Microsoft Konkurrenz

Gesetzentwurf zum Leistungsschutzrecht: Acht Wörter sollen reichen
Gesetzentwurf zum Leistungsschutzrecht
Acht Wörter sollen reichen

Auszüge von mehr als acht Wörtern sollen beim Leistungsschutzrecht lizenzpflichtig werden, von Vorschaubildern ist keine Rede mehr.
Von Justus Staufburg

  1. Medienstaatsvertrag Droht wirklich das Ende des Urheberrechts?
  2. Leistungsschutzrecht Drei Wörter sollen ...
  3. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein

Bodyhacking: Prothese statt Drehregler
Bodyhacking
Prothese statt Drehregler

Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
Ein Interview von Tobias Költzsch


      •  /