พบช่องโหว่ Backdoor ใน Webmin บน Linux กับ Unix Servers

Jamie Cameron ผู้คิดค้น Webmin พบช่องโหว่บน Webmin (เป็นเว็บแอพพลิเคชั่น ทำให้แอดมินสามารถเข้าไปจัดการเซิร์ฟเวอร์ได้ โดยจะทำงานบนระบบปฏิบัติการ Unix) ช่องโหว่นี้จะช่วยให้แฮกเกอร์สามารถควบคุมเครื่องที่อยู่ปลายทาง (Endpoint) ได้

ทาง Jamie ได้ออกมาโพสถึงปัญหาที่พบนี้ ซึ่งสามารถดูรายละเอียดได้ที่ Webmin 1.890 Exploit – What Happened?

ช่องโหว่นี้ส่งผลกระทบกับ Webmin เวอร์ชั่น 1.890, 1.900 และ 1.920 อันที่จริงช่องโหว่นี้ได้มีการค้นพบตั้งแต่ปีที่แล้ว แต่ที่น่าสนใจก็คือ เหตุการณ์ที่เกิดขึ้นในเดือนกันยายน 2018 ได้มีการพบว่า เซิร์ฟเวอร์ที่มีช่องโหว่นี้จะทำลายระบบปฏิบัติการที่ติดตั้งเดิม แล้วติดตั้งระบบปฏิบัติการใหม่เป็น CentOS 7

แต่การที่ช่องโหว่นี้จะทำงานได้ จะต้องมีเงือนไขดังนี้ ผู้ใช้จะต้องติดตั้ง Webmin และต้องตั้งค่า Webmin -> Webmin Configuration -> Authentication -> ที่ Password expiry policy เลือก Prompt users with expired passwords to enter a new one ซึ่งตัวเลือกนี้จะไม่ได้ถูกตั้งไว้เป็นค่าเริ่มต้น แต่ถ้าเลือกนั่นหมายถึงว่า อนุญาตให้ผู้ใช้สามารถเข้าเครื่องได้จากระยะไกล

ช่องโหว่นี้เป็นหนึ่งในหัวข้อที่ถูกนำมากล่าวถึงในงานรสัมมนาด้านความปลอดภัยใน DEF CON 2019 ซึ่งได้มีการเผยแพร่งานวิจัย zero-day หมายเลขช่องโหว่นี้คือ CVE-2019-15107  ในรายงานมีการเผยแพร่โค้ดของช่องโหว่นี้ด้วย

ในตอนนี้เวอร์ชั่นที่ได้รับการแก้ไขช่องโหว่แล้ว ได้แก่ Webmin 1.930 และ Usermin version 1.780 แนะนำให้ผู้ใช้ทำการอัพเดทด่วน

ที่มา: Threat Post