Posterior a la divulgación que realizó el investigador turco Özkan Mustafa Akkuş en Defcon el 10 de agosto pasado, respecto a una vulnerabilidad crítica que afecta a Webmin, los mantenedores de la plataforma dieron a conocer que no se trata de un error de codificación sino más bien de un backdoor que habría sido inyectado al repositorio de descarga del proyecto persistiendo desde la versión 1.882 a 1.921, manteniéndose oculto en sus liberaciones por más de un año.
Con más de 3 millones de descargas por año, Webmin es una de las aplicaciones basadas en web de código abierto más populares del mundo para administrar sistemas basados en Unix, como servidores Linux, FreeBSD y OpenBSD, ofreciendo una interfaz de usuario (UI) simple para administrar clientes y grupos, bases de datos, BIND, Apache, Postfix, Sendmail, QMail, copias de seguridad, firewalls, monitoreo y alertas, y mucho más.
Además de revelar la falla al público, Akkuş también lanzó un módulo Metasploit para esta vulnerabilidad que tiene como objetivo automatizar la explotación utilizando el marco Metasploit, por lo que el riesgo al cual se ven expuestos estos sistemas se debiese catalogar como crítico.
La falla de seguridad está presente en la página de restablecimiento de contraseña y permite que un atacante remoto no autenticado ejecute comandos arbitrarios con privilegios de administrador en los servidores afectados simplemente agregando un caracter “pipe” ("|") en el antiguo campo de contraseña a través de peticiones del método HTTP POST.
Los desarrolladores de Webmin ahora han eliminado la puerta trasera maliciosa en su software para abordar la vulnerabilidad y lanzaron las versiones limpias, Webmin 1.930 y Usermin versión 1.780.
Los últimos lanzamientos de Webmin y Usermin también abordan un puñado de vulnerabilidades de scripting entre sitios (XSS) que fueron reveladas de manera responsable por un investigador de seguridad diferente que ha sido recompensado con una recompensa. Por lo tanto, se recomienda encarecidamente a los administradores de Webmin que actualicen sus paquetes lo antes posible.
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
| https://thehackernews.com/2019/08/webmin-v... |
| Producto | Versión |
|---|---|
| Webmin |
1.882 a 1.921 |
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.