Abo
  • IT-Karriere:

Remote Code Execution: Doppelte Hintertür in Webmin

In der Systemkonfigurationssoftware Webmin waren offenbar für über ein Jahr Hintertüren, mit denen sich übers Netz Code ausführen lässt. Den Angreifern gelang es dabei offenbar, die Release-Dateien des Projekts zu manipulieren.

Artikel veröffentlicht am ,
Eingang durch die Hintertür? Offenbar gelang es Angreifern zweimal, Backdoor-Code in der Software Webmin unterzubringen.
Eingang durch die Hintertür? Offenbar gelang es Angreifern zweimal, Backdoor-Code in der Software Webmin unterzubringen. (Bild: Pixabay)

Eine von Angreifern eingefügte Hintertür gefährdet Nutzer der Software Webmin. Der Schadcode wurde in die Release-Archive auf Sourceforge eingefügt. Der unbekannte Angreifer muss dabei über einen längeren Zeitraum die Möglichkeit gehabt haben, den Release-Prozess zu beeinflussen: In unterschiedlichen Versionen der Software sind verschiedene Varianten von Hintertüren.

Stellenmarkt
  1. über experteer GmbH, Künzelsau
  2. combine Consulting GmbH, Hamburg, München

Webmin ist eine unter einer BSD-Lizenz veröffentlichte freie Software, mit der man auf Unix-Systemen die Konfiguration des Betriebssystems über ein Webinterface vornehmen kann. Die Software ist in Perl geschrieben.

Fehlerhafte Infos auf der Def Con veröffentlicht

Informationen über die Sicherheitslücke wurden zunächst auf der Def-Con-Konferenz veröffentlicht. Ein dazugehöriger Blogpost enthält allerdings einige Irrtümer. Der Code, der im Blogpost gezeigt und als angeblich unsicher bezeichnet wird, ist völlig in Ordnung. Der gezeigte Exploitcode funktioniert aber, da er die Backdoor auslöst. Eine Diskussion darüber findet man auf Reddit.

Die eingefügten Sicherheitslücken finden sich in der Funktion zum Ändern des Passworts. Wir haben die Hintertüren mit Hilfe des IT-Sicherheitsexperten Roman Mueller in einer lokalen Installation analysiert. Dabei zeigte sich, dass je nach Version von Webmin zwei verschiedene Hintertüren vorhanden sind.

In Version 1.900 und höher ruft der verwundbare Perl-Code die Funktion qx auf und übergibt als Parameter die Variable für das alte Passwort, die schlicht "old" heißt. Diese Funktion führt die übergebene Variable als Shell-Code aus. Aufgerufen wird dieser Code allerdings nur, wenn Webmin so konfiguriert ist, dass Nutzer ihre Passwörter ändern können.

In der älteren Version 1.890 wird ebenfalls qx aufgerufen, allerdings mit einer anderen Variablen ("expired"). Zudem funktioniert die Hintertür dort auch in der Standardkonfiguration, da der Code früher aufgerufen wird.

Beide Hintertüren sind nicht im Github-Repository von Webmin zu finden. Nur die Release-Tarballs, die das Projekt auf Sourceforge veröffentlicht, sind kompromittiert. Mitarbeiter von Sourceforge haben jedoch erklärt, dass sie den Vorfall analysiert haben und dass die kompromittierten Dateien genau die sind, die vom Projekt hochgeladen wurden.

Die erste Hintertür führte zu Bugreports, aber niemand erkannte die Brisanz

Dass etwas mit dem Code nicht stimmte, hatte ein Nutzer von Webmin bereits vor einem Jahr bemerkt. Ein Fehlerbericht auf Github deutet darauf hin, dass der eingefügte Code in manchen Situationen zu unerklärlichen Fehlermeldungen führte. Dort wird auch erwähnt, dass sich der Code im Release von Webmin von dem im Github-Repository unterscheidet. Doch offenbar erkannte niemand die Brisanz dieser Information.

Inzwischen hat Webmin eine Stellungnahme veröffentlicht und neue Versionen mit den Versionsnummern 1.930 und 1.780 veröffentlicht. Darin kritisieren die Webmin-Entwickler, dass Informationen über die Sicherheitslücke einfach veröffentlicht wurden, ohne vorab mit ihnen Kontakt aufzunehmen. Neben der entfernten Hintertür sind in den neuen Versionen auch einige Cross-Site-Scripting-Sicherheitslücken geschlossen worden.



Anzeige
Spiele-Angebote
  1. 34,99€
  2. (-12%) 52,99€
  3. 4,19€
  4. 43,99€

vollstorno 21. Aug 2019 / Themenstart

Woher kommt die Falschinformation zur Wartung? Siehe hier: github_dot_com/webmin/webmin...

Apollo13 20. Aug 2019 / Themenstart

Naja, wenn ich das ganze in ein entsprechend gesichertes VLAN packe, welches nur...

HeroFeat 20. Aug 2019 / Themenstart

Aber es ist eben doch aufgefallen. Aber das die Maintainer auf die vor einem Jahr...

HeroFeat 20. Aug 2019 / Themenstart

Also, früher habe ich auch mal Webmin eingesetzt, da ich die Konfiguration des Webservers...

Kommentieren


Folgen Sie uns
       


Asus Zephyrus G GA502 - Test

Sparsamer Sprinter mit dunklem Display: das Zephyrus G GA502 im Test.

Asus Zephyrus G GA502 - Test Video aufrufen
Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
Mobile-Games-Auslese
Superheld und Schlapphutträger zu Besuch im Smartphone

Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
Von Rainer Sigl

  1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
  2. Dr. Mario World im Test Spielspaß für Privatpatienten
  3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

Dick Pics: Penis oder kein Penis?
Dick Pics
Penis oder kein Penis?

Eine Studentin arbeitet an einer Software, die automatisch Bilder von Penissen aus Direktnachrichten filtert. Wer mithelfen will, kann ihr Testobjekte schicken.
Ein Bericht von Fabian A. Scherschel

  1. Medienbericht US-Regierung will soziale Netzwerke stärker überwachen
  2. Soziales Netzwerk Openbook heißt jetzt Okuna
  3. EU-Wahl Spitzenkandidat Manfred Weber für Klarnamenpflicht im Netz

    •  /