Webmin resuelve falla crítica que vulnera los servicios administrados

20 Agosto 2019
Crítico

Posterior a la divulgación que realizó el investigador turco Özkan Mustafa Akkuş en Defcon el 10 de agosto pasado, respecto a una vulnerabilidad crítica que afecta a Webmin, los mantenedores de la plataforma dieron a conocer que no se trata de un error de codificación sino más bien de un backdoor que habría sido inyectado al repositorio de descarga del proyecto persistiendo desde la versión 1.882 a 1.921, manteniéndose oculto en sus liberaciones por más de un año.

Con más de 3 millones de descargas por año, Webmin es una de las aplicaciones basadas en web de código abierto más populares del mundo para administrar sistemas basados ​​en Unix, como servidores Linux, FreeBSD y OpenBSD, ofreciendo una interfaz de usuario (UI) simple para administrar clientes y grupos, bases de datos, BIND, Apache, Postfix, Sendmail, QMail, copias de seguridad, firewalls, monitoreo y alertas, y mucho más. 

Además de revelar la falla al público, Akkuş también lanzó un módulo Metasploit para esta vulnerabilidad que tiene como objetivo automatizar la explotación utilizando el marco Metasploit, por lo que el riesgo al cual se ven expuestos estos sistemas se debiese catalogar como crítico.

La falla de seguridad está presente en la página de restablecimiento de contraseña y permite que un atacante remoto no autenticado ejecute comandos arbitrarios con privilegios de administrador en los servidores afectados simplemente agregando un caracter “pipe” ("|") en el antiguo campo de contraseña a través de peticiones del método HTTP POST.

Los desarrolladores de Webmin ahora han eliminado la puerta trasera maliciosa en su software para abordar la vulnerabilidad y lanzaron las versiones limpias, Webmin 1.930 y Usermin versión 1.780.

Los últimos lanzamientos de Webmin y Usermin también abordan un puñado de vulnerabilidades de scripting entre sitios (XSS) que fueron reveladas de manera responsable por un investigador de seguridad diferente que ha sido recompensado con una recompensa. Por lo tanto, se recomienda encarecidamente a los administradores de Webmin que actualicen sus paquetes lo antes posible.

Se recomienda lo siguiente:

  • Actualizar a las versiones Webmin 1.930 y Usermin 1.780

El listado de las CVE se adjunta a continuación:


Tags: #vulnerabilidad #webmin #linux #web #defcon
  • Productos Afectados
  • Producto Versión
    Webmin 1.882 a 1.921


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.