压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

相反，它是由一位不知名的黑客秘密種植的，他成功地在其構(gòu)建基礎(chǔ)設(shè)施中的某個點上注入了一個后門并持續(xù)在各種版本的Webmin（1.882到1.921）中隱藏了一年多。

Webmin是每年下載量超過300萬也世界上最受歡迎的基于Web的開源應(yīng)用程序，用于管理基于Unix的系統(tǒng)，如Linux，F(xiàn)reeBSD或OpenBSD服務(wù)器。

Webmin提供了一個簡單的用戶界面（UI）來管理用戶和組，數(shù)據(jù)庫，BIND，Apache，Postfix，Sendmail，QMail，備份，防火墻，監(jiān)控和警報等等。

故事開始于土耳其研究員?zkanMustafaAkku?于8月10日在DefCon的Webmin公開指出零日遠(yuǎn)程代碼執(zhí)行漏洞，而沒有事先通知受影響的項目維護人員。

“我們沒有收到任何提前通知，這對發(fā)現(xiàn)它的研究人員來說是不尋常和不道德的。但是，在這種情況下我們無能為力，只能盡快修復(fù)它，”項目開發(fā)人員之一Joe Cooper說。

除了揭示缺陷外，Akku?還發(fā)布了一個針對此漏洞的Metasploit模塊，旨在使用Metasploit框架自動化開發(fā)。

該漏洞（CVE-2019-15107）被引入安全功能，該功能旨在讓W(xué)ebmin管理員為其他用戶的帳戶強制實施密碼過期策略。

根據(jù)研究人員的說法，安全漏洞存在于密碼重置頁面中，允許遠(yuǎn)程未經(jīng)身份驗證的攻擊者通過POST在舊密碼字段中添加簡單的管道命令（“|”）來在受影響的服務(wù)器上執(zhí)行具有root權(quán)限的任意命令要求。

在今天發(fā)布的一篇博客文章中，Cooper表示該團隊仍在調(diào)查后門被引入的方式和時間，但確認(rèn)官方Webmin下載僅被項目的SourceForge存儲庫中的后端軟件包取代，而不是Webmin的GitHub存儲庫。

Cooper還強調(diào)，默認(rèn)情況下，Webmin帳戶不會啟用受影響的密碼到期功能，這意味著大多數(shù)版本在其默認(rèn)配置中不易受攻擊，并且該缺陷僅影響已手動啟用此功能的Webmin管理員。

“要利用惡意代碼，您的Webmin安裝必須將Webmin→Webmin配置→身份驗證→密碼到期策略設(shè)置為提示輸入新密碼的用戶輸入新密碼。默認(rèn)情況下不設(shè)置此選項，但如果已設(shè)置，則允許遠(yuǎn)程執(zhí)行代碼，“Cooper說。

然而，Twitter上的另一位安全研究人員后來透露，Webmin版本1.890在默認(rèn)配置中受到影響，因為黑客似乎已經(jīng)修改了源代碼以默認(rèn)為所有Webmin用戶啟用密碼過期功能。

Webmin源代碼中的這些不尋常的變化在去年年底被管理員用紅色標(biāo)記，但令人驚訝的是，Webmin開發(fā)人員從未懷疑這不是他們的錯誤，但代碼實際上是由其他人故意修改的。

根據(jù)Shodan的搜索，在撰寫本文時，Webmin有超過218,000個可供互聯(lián)網(wǎng)訪問的實例，大多數(shù)位于美國，法國和德國 – 其中超過13,000個實例運行易受攻擊的Webmin版本1.890。

Webmin開發(fā)人員現(xiàn)在已經(jīng)刪除了其軟件中的惡意后門以解決漏洞，并發(fā)布了干凈的版本，Webmin 1.930和Usermin版本1.780。

最新的Webmin和Usermin版本還解決了一些跨站點腳本（XSS）漏洞，這些漏洞由一位獲得獎勵的不同安全研究人員負(fù)責(zé)任地披露。

因此，強烈建議Webmin管理員盡快更新其軟件包。

轉(zhuǎn)載自安全加http://toutiao.secjia.com/article/page?topid=111878