【CVE-2019-15107】webmin1.882〜1.921 バックドアの詳細と解決策

2019年8月29日

この記事は筆者が独自に調べたものであり、必ずしも正確性を保証するものではありません。また安全性なども保証しません。

当サイトに掲載された内容によって生じた損害等の一切の責任を負いかねますので、ご了承ください。

目次

1.脆弱性の詳細
2.悪意のあるコードを実行する条件
3.脆弱性の確認
4.まとめ
5.参考

脆弱性の詳細

以下のバージョンで脆弱性があり

1.882〜1.921

1年以上バックドアは見つからなかった為、様々なバージョンで脆弱性がある

この欠陥は実際にはプログラマーが行ったコーディングミスの結果ではなく、悪意ある第三者が設置したもの

 

開発者のコメント

Webminバージョン1.890は、それを知っている人ならだれでもrootとしてコマンドを実行できるバックドアとともにリリースされました。バージョン1.900〜1.920にも同様のコードを使用したバックドアが含まれていましたが、デフォルトのWebminインストールでは悪用されませんでした。管理者がWebmin-> Webmin Configuration-> Authenticationでこの機能を有効にして有効期限が切れたパスワードの変更を許可した場合のみ、攻撃者によって使用される可能性があります。

プレスニュース(thehackernews)

セキュリティの欠陥はパスワードリセットページに存在POSTを介して古いパスワードフィールドに単純なパイプコマンド( “|”)を追加するだけで、リモートの認証されていない攻撃者がサーバーでルート権限で任意のコマンドを実行できるようにします

 

悪意のあるコードを実行する条件

webminのwebページから

Webmin

Webmin- >

Webmin Configuration->

Authentication->

Password expiry policy set to Prompt users with a passwords to enter new password

上記を設定する必要があります。このオプションはデフォルトでは設定されていませんが、設定されている場合、リモートでコードを実行できます

ほとんどのバージョンはデフォルトの構成で脆弱はなく、

この機能は手動でこの機能を有効にしたWebmin管理者にのみ影響します。

しかしwebmin1.890はデフォルトの設定で脆弱性がある

Webmin 1.930 and Usermin 1.780 released

Thu, 08/22/2019 – 12:29 (Reply to #28)

Joe

Joe's picture

The default configuration of 1.890 was exploitable; i.e. root-level access to anyone who knew how to trigger it. The default configuration of later versions was not exploitable. Most people with later versions will not be impacted, as most people will not have modified that option.

1.890のデフォルト設定は悪用可能でした すなわち、それをトリガーする方法を知っている人へのルートレベルのアクセス。 それ以降のバージョンのデフォルト設定は悪用できませんでした。 ほとんどの人はそのオプションを変更していないため、後のバージョンのほとんどの人は影響を受けません。

 

 

テキストベースでwebminの設定を変更するには

passwd_modeを0に設定します。

vi /etc/webmin/miniserv.conf

 

脆弱性の確認

このshで確認できる
使い方

# sh CVE-2019-15107.sh https://target:port

# sh CVE-2019-15107.sh https://localhost:10000

下記shを作成して上記コマンドを実行

 

まとめ

脆弱性が確認されたバージョン

1.882〜1.921

1.890ではデフォルトの設定で脆弱性がある

悪意のあるコードを実行させないためには

webminで以下の設定になっていないか確認

Webmin

Webmin- >

Webmin Configuration->

Authentication->

Password expiry policy set to Prompt users with a passwords to enter new password

または

passwd_modeを0に設定します。

vi /etc/webmin/miniserv.conf

webminを再起動

 

その他の脆弱性にも対応しているため、できる限り1.900にアップデートするのがよさそう

参考

https://pentest.com.tr/exploits/DEFCON-Webmin-1920-Unauthenticated-Remote-Command-Execution.html

https://www.exploit-db.com/exploits/47293

 

Hackers Planted Backdoor in Webmin, Popular Utility for Linux/Unix Servers

 

http://www.webmin.com/exploit.html

 

 

webmin, メモ

Posted by Sho