Une porte dérobée Webmin datant d'un an révélée à DEF CON 2019 a permis à des attaquants non authentifiés d'exécuter des commandes avec les privilèges root sur des serveurs – Bien choisir son serveur d impression
Plus tôt ce mois-ci, à DEF CON 2019, un chercheur en sécurité turque, Özkan Mustafa Akkuş, a présenté une vulnérabilité d'exécution de code à distance de zéro jour dans Webmin, un système de configuration de système basé sur le Web destiné aux systèmes de type Unix. Suite à cette divulgation, ses développeurs ont révélé que la porte dérobée avait été trouvée dans Webmin 1.890. Une porte dérobée similaire a également été détectée dans les versions 1.900 à 1.920.
Cette vulnérabilité a été découverte dans une fonctionnalité de sécurité Webmin qui permet à un administrateur d’appliquer une stratégie d’expiration du mot de passe pour les comptes d’autres utilisateurs. Le chercheur en sécurité a révélé que la vulnérabilité était présente dans la page de réinitialisation du mot de passe. Il permet à un attaquant distant non authentifié d'exécuter des commandes arbitraires avec les privilèges root sur les serveurs affectés. Il leur suffit d'ajouter une simple commande de canal (“|”) dans l'ancien champ de mot de passe via des requêtes POST. Cette vulnérabilité est suivie en tant que CVE-2019-15107.
Sommaire
La vulnérabilité zéro jour de Webmin n'était pas un accident
Dans un article de blog, Jamie Cameron, l'auteur de Webmin, a expliqué comment et à quel moment cette porte dérobée avait été injectée. Il a révélé que cette porte dérobée n'était pas un hasard et qu'elle avait en fait été délibérément injectée dans le code par un acteur malveillant. Il a écrit, "Ni l'un ni l'autre ne constituaient des bogues accidentels, mais le code source de Webmin avait été modifié de manière malveillante pour ajouter une vulnérabilité non évidente.," il a écrit.
Les traces de cette porte dérobée remontent à avril 2018 lorsque le serveur de développement de Webmin a été exploité et qu'une vulnérabilité a été introduite dans le script ‘password_change.cgi’. L'équipe a ensuite rétabli ce fichier dans sa version archivée de GitHub. L'attaquant a de nouveau modifié ce fichier en juillet 2018. Cependant, cette fois, il a ajouté l'exploit au code exécuté uniquement lorsque le changement de mot de passe expiré était activé. L'équipe a ensuite remplacé le serveur de génération vulnérable par un nouveau serveur exécutant CentOS7 en septembre 2018. Mais cela n'a pas non plus résolu le problème, car le répertoire de construction contenant le fichier modifié était copié à partir de sauvegardes effectuées sur le serveur d'origine.
Après avoir été informé de l'exploit de zéro jour le 17 août 2019, l'équipe a publié une version mise à jour de Webmin 1.930 et de la version 1.780 d'Usermin, qui corrige les vulnérabilités. Ces versions traitent également des vulnérabilités XSS (cross-site scripting) révélées par un chercheur en sécurité différent.
Afin de s'assurer que de telles attaques ne se reproduisent plus, l'équipe prend quelques mesures:
- Mise à jour du processus de construction pour utiliser uniquement le code archivé de Github, plutôt qu'un répertoire local synchronisé.
- Rotation de tous les mots de passe et clés accessibles à partir de l'ancien système de construction.
- Auditer tous les enregistrements GitHub de l'année écoulée pour rechercher les commits susceptibles d'avoir introduit des vulnérabilités similaires.
Pour en savoir plus en détail, consultez l'annonce officielle de Webmin.
Les pirates exploitent les vulnérabilités révélées par DEF CON et Black Hat
Un rapport ZDNet publié la semaine dernière a révélé que des attaquants exploitaient maintenant les vulnérabilités rendues publiques plus tôt ce mois-ci. Bad Packet a rapporté sur Twitter avoir détecté plusieurs «tentatives d'exploitation active» par des attaquants vendredi.
CVE-2019-15107 (Webmin RCE) tentatives d'exploitation détectées depuis 2019-08-21T21: 33: 21Zhttps: //t.co/ZE6wNPfIcX#threatintel
– Rapport de mauvais paquets (@bad_packets) 23 août 2019
De nombreux attaquants ciblent également les vulnérabilités de Pulse Secure VPN et de Fortinet FortiGate VPN. Certaines de ces vulnérabilités ont été abordées dans une discussion sur Black Hat intitulée «Infiltrer l’intranet de l’entreprise, comme la NSA: autoriser RCE sur des VPN SSL de premier plan».
Des paquets incorrects dans un article de blog ont révélé que ses pots de miel ont détecté une «activité d'analyse en masse opportuniste» ciblant les noeuds finaux de serveur Pulse Secure VPN vulnérables à CVE-2019-11510. Cette vulnérabilité révèle des informations sensibles permettant à des attaquants non authentifiés d'accéder aux clés privées et aux mots de passe utilisateurs.
𝗪𝗔𝗥𝗡𝗜𝗡𝗚 ⚠️
Activité de balayage en masse détectée à partir de 2.137.127.2 () recherchant @pulsesecure Les points finaux Pulse Connect Secure VPN sont vulnérables à la lecture arbitraire de fichiers (CVE-2019-11510).#threatintel pic.twitter.com/fiRUMKjwbE– Rapport de mauvais paquets (@bad_packets) 22 août 2019
Kevin Beaumont, chercheur en sécurité, a tweeté que les pirates informatiques recherchent des périphériques vulnérables sur Internet afin de récupérer des fichiers de session VPN à partir de FortiGate de Fortinet.
Fortigate Fortinet SSL VPN est exploité dans la nature depuis la nuit dernière, à l’échelle 1996, avec le style 1996 ../../ exploit – si vous l’utilisez comme frontière de sécurité, vous souhaitez appliquer un correctif dès que possible https://t.co/IaBSqZJJiiS
– Kevin Beaumont (@GossiTheDog) 22 août 2019
Lire la suite
Puppet lance Puppet Remediate, une solution de correction de vulnérabilité pour les opérations informatiques
Nouvelle vulnérabilité Bluetooth, l'attaque KNOB peut manipuler les données transférées entre deux appareils couplés
Apple annonce la «politique de prévention du suivi WebKit» qui considère le suivi Web comme une faille de sécurité
Commentaires
Laisser un commentaire