Menyusul pengungkapan publik tentang zero-day vulnerability yang kritis di Webmin minggu lalu, pengelola proyek mengungkapkan bahwa kesalahan itu sebenarnya bukan hasil dari kesalahan pengkodean yang dilakukan oleh para programmer.
Alih-alih, itu diam-diam ditanam oleh hacker yang tidak dikenal yang berhasil berhasil menyuntikkan backdoor di beberapa titik dalam infrastruktur pembangunannya — yang secara mengejutkan bertahan dalam berbagai rilis Webmin (1.882 hingga 1.921) dan akhirnya tetap tersembunyi selama lebih dari setahun.
Dengan lebih dari 3 juta unduhan per tahun, Webmin adalah salah satu aplikasi berbasis web open-source paling populer di dunia untuk mengelola sistem berbasis Unix, seperti Linux, FreeBSD, atau server OpenBSD.
Webmin menawarkan antarmuka pengguna sederhana (UI) untuk mengelola pengguna dan grup, basis data, BIND, Apache, Postfix, Sendmail, QMail, cadangan, firewall, pemantauan dan peringatan, dan banyak lagi.
Cerita dimulai ketika peneliti Turki Özkan Mustafa Akkuş secara terbuka mempresentasikan kerentanan eksekusi kode jarak jauh selama nol hari di Webmin di DefCon pada 10 Agustus, tanpa memberikan pemberitahuan terlebih dahulu kepada pengelola proyek yang terpengaruh.
"Kami tidak menerima pemberitahuan sebelumnya tentang hal itu, yang tidak biasa dan tidak etis pada bagian peneliti yang menemukannya. Tetapi, dalam kasus seperti itu tidak ada yang bisa kami lakukan selain memperbaikinya secepat mungkin," kata Joe Cooper, salah satu pengembang proyek.
Selain mengungkapkan kelemahannya kepada publik, Akkuş juga merilis modul Metasploit untuk kerentanan ini yang bertujuan untuk mengotomatisasi eksploitasi menggunakan kerangka kerja Metasploit.
Kerentanan, dilacak sebagai CVE-2019-15107, diperkenalkan dalam fitur keamanan yang telah dirancang untuk membiarkan administrator Webmin memberlakukan kebijakan kedaluwarsa kata sandi untuk akun pengguna lain.
Menurut peneliti, celah keamanan berada di halaman pengaturan ulang kata sandi dan memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi perintah sewenang-wenang dengan hak akses root pada server yang terpengaruh hanya dengan menambahkan perintah pipa sederhana ("|") di bidang kata sandi lama melalui POST permintaan.
Dalam sebuah posting blog yang diterbitkan hari ini, Cooper mengatakan bahwa tim masih menyelidiki bagaimana dan kapan pintu belakang diperkenalkan, tetapi mengkonfirmasi bahwa unduhan Webmin resmi digantikan oleh paket-paket backdoored hanya pada repositori SourceForge proyek, dan bukan pada Webmin.Repositori GitHub .
Cooper juga menekankan bahwa fitur kedaluwarsa kata sandi yang terpengaruh tidak diaktifkan secara default untuk akun Webmin, yang berarti bahwa sebagian besar versi tidak rentan dalam konfigurasi default mereka, dan kelemahannya hanya memengaruhi admin Webmin yang telah mengaktifkan fitur ini secara manual.
"Untuk mengeksploitasi kode berbahaya, instalasi Webmin Anda harus memiliki Webmin → Konfigurasi Webmin → Otentikasi → Kebijakan kedaluwarsa kata sandi disetel ke pengguna Prompt dengan kata sandi yang kedaluwarsa untuk memasukkan yang baru. Opsi ini tidak diatur secara default, tetapi jika disetel secara default, memungkinkan eksekusi kode jarak jauh, "kata Cooper.
Namun, peneliti keamanan lain di Twitter kemudian mengungkapkan bahwa Webmin versi 1.890 terpengaruh dalam konfigurasi default, karena peretas tampaknya telah memodifikasi kode sumber untuk mengaktifkan fitur kedaluwarsa kata sandi secara default untuk semua pengguna Webmin.
Perubahan yang tidak biasa pada kode sumber Webmin ini ditandai oleh administrator akhir tahun lalu, tetapi yang mengejutkan, pengembang Webmin tidak pernah menduga bahwa itu bukan kesalahan mereka, tetapi kode itu sebenarnya dimodifikasi oleh orang lain dengan sengaja.
Menurut pencarian Shodan, Webmin memiliki lebih dari 218.000 instance yang terpapar Internet tersedia pada saat penulisan, sebagian besar berlokasi di Amerika Serikat, Prancis, dan Jerman — di mana lebih dari 13.000 instance menjalankan Webmin versi 1.890 yang rentan.
Pengembang Webmin sekarang telah menghapus backdoor berbahaya dalam perangkat lunaknya untuk mengatasi kerentanan dan merilis versi bersih, Webmin 1.930 dan Usermin versi 1.780.
Rilis Webmin dan Usermin terbaru juga membahas beberapa kerentanan cross-site scripting (XSS) yang secara bertanggung jawab diungkapkan oleh peneliti keamanan berbeda yang telah diberi hadiah dengan hadiah.
Jadi, administrator Webmin sangat disarankan untuk memperbarui paket mereka sesegera mungkin.
Sumber Artikel : TheHackerNews
