Puerta trasera encontrada para Linux y Unix en Webmin

En el 2018 se implanto intencionalmente una puerta trasera y en este año en la conferencia de seguridad DEF CON se encontró ya que varios investigadores se toparon con este código malicioso.

Este 0Day fue encontrado en una herramienta llamada Webmin que usa Unix para su administración, los investigadores de ciberseguridad se percataron que este fallo no era intencional . La puerta trasera le dio a cualquiera con conocimiento de su existencia la capacidad de ejecutar comandos como root, lo que significa que un atacante podría tomar el control del punto final objetivo.

Hay una versión falsa 1.890, y se ha encontrado un código de puerta trasera en versiones 1.900 y 1.920.

Jamie Cameron – Autor de Webmin

“Ninguno de estos fueron errores accidentales, más bien, el código fuente de Webmin había sido modificado maliciosamente para agregar una vulnerabilidad no obvia”

Jamie Cameron

El autor de esta aplicación comenta que en abril del 2018, se vio comprometido el servidor de compilación de desarrollo de Webmin. Y esto se origino cuando agregó una vulnerabilidad al script “password_chanel.cgi”, después de esto, explico que al retroceder el archivo, se volvió una versión de código “registrada” en Github y este se envió como la versión 1.890 de la versión de Webmin.

Luego, en julio de 2018, el actor malicioso detrás de la versión vulnerable del script “password_change.cgi” actualizó el archivo nuevamente. Esta vez, el cambio impactó la versión Webmin 1.900. “Esta vez se agregó el exploit al código que solo se ejecuta si se habilita el cambio de contraseñas caducadas”, escribió el autor.

En septiembre del 2018 cuando el servidor de compilación vulnerable fue desarmado y remplazado por un servidor recién instalado que ejecuta CentOs 7. Pero sin embargo, el código vulnerable “se copio de las copias de seguridad realizadas en el servidor original”.

De cualquier manera, el error solo afectó a los sistemas con una configuración específica. “Para explotar el código malicioso, su instalación de Webmin debe tener Webmin -> Configuración de Webmin -> Autenticación -> Política de caducidad de contraseña establecida para Solicitar a los usuarios con contraseñas caducadas que ingresen una nueva. Esta opción no está configurada de manera predeterminada, pero si está configurada, permite la ejecución remota de código “, según una descripción del error.

Este error apareció en la DEF CON 2019, cuando un investigador de ciberseguridad lanzo una investigación de día cero que ilustra un error (CVE-2019-15107) que hizo uso de la vulnerabilidad. Fue esta investigación la que arrojó luz sobre el código malicioso inyectado en julio de 2018. “En respuesta (a CVE-2019-15107), el código de explotación fue eliminado y Webmin versión 1.930 creada y lanzada a todos los usuarios”

Jamie Cameron

Como respuesta al código malicioso, Webmin dijo que adoptaría nuevos esfuerzos de mitigación, como:

  • Actualización del proceso de compilación para usar solo el código registrado desde Github, en lugar de un directorio local que se mantiene sincronizado.
  •     Rotación de todas las contraseñas y claves accesibles desde el antiguo sistema de compilación.
  •     Auditar todos los registros de Github durante el año pasado para buscar confirmaciones que puedan haber introducido vulnerabilidades similares.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: