Serveur d'impression

Une porte dérobée Webmin datant d'un an révélée à DEF CON 2019 a permis à des attaquants non authentifiés d'exécuter des commandes avec les privilèges root sur des serveurs – Bien choisir son serveur d impression

Le 30 septembre 2019 - 6 minutes de lecture

Plus tôt ce mois-ci, à DEF CON 2019, un chercheur en sécurité turque, Özkan Mustafa Akkuş, a présenté une vulnérabilité d'exécution de code à distance de zéro jour dans Webmin, un système de configuration de système basé sur le Web destiné aux systèmes de type Unix. Suite à cette divulgation, ses développeurs ont révélé que la porte dérobée avait été trouvée dans Webmin 1.890. Une porte dérobée similaire a également été détectée dans les versions 1.900 à 1.920.

Cette vulnérabilité a été découverte dans une fonctionnalité de sécurité Webmin qui permet à un administrateur d’appliquer une stratégie d’expiration du mot de passe pour les comptes d’autres utilisateurs. Le chercheur en sécurité a révélé que la vulnérabilité était présente dans la page de réinitialisation du mot de passe. Il permet à un attaquant distant non authentifié d'exécuter des commandes arbitraires avec les privilèges root sur les serveurs affectés. Il leur suffit d'ajouter une simple commande de canal (“|”) dans l'ancien champ de mot de passe via des requêtes POST. Cette vulnérabilité est suivie en tant que CVE-2019-15107.

La vulnérabilité zéro jour de Webmin n'était pas un accident

Apprendre la programmation et le développement avec un abonnement Packt

Dans un article de blog, Jamie Cameron, l'auteur de Webmin, a expliqué comment et à quel moment cette porte dérobée avait été injectée. Il a révélé que cette porte dérobée n'était pas un hasard et qu'elle avait en fait été délibérément injectée dans le code par un acteur malveillant. Il a écrit, "Ni l'un ni l'autre ne constituaient des bogues accidentels, mais le code source de Webmin avait été modifié de manière malveillante pour ajouter une vulnérabilité non évidente.," il a écrit.

Les traces de cette porte dérobée remontent à avril 2018 lorsque le serveur de développement de Webmin a été exploité et qu'une vulnérabilité a été introduite dans le script ‘password_change.cgi’. L'équipe a ensuite rétabli ce fichier dans sa version archivée de GitHub. L'attaquant a de nouveau modifié ce fichier en juillet 2018. Cependant, cette fois, il a ajouté l'exploit au code exécuté uniquement lorsque le changement de mot de passe expiré était activé. L'équipe a ensuite remplacé le serveur de génération vulnérable par un nouveau serveur exécutant CentOS7 en septembre 2018. Mais cela n'a pas non plus résolu le problème, car le répertoire de construction contenant le fichier modifié était copié à partir de sauvegardes effectuées sur le serveur d'origine.

Après avoir été informé de l'exploit de zéro jour le 17 août 2019, l'équipe a publié une version mise à jour de Webmin 1.930 et de la version 1.780 d'Usermin, qui corrige les vulnérabilités. Ces versions traitent également des vulnérabilités XSS (cross-site scripting) révélées par un chercheur en sécurité différent.

Afin de s'assurer que de telles attaques ne se reproduisent plus, l'équipe prend quelques mesures:

  • Mise à jour du processus de construction pour utiliser uniquement le code archivé de Github, plutôt qu'un répertoire local synchronisé.
  • Rotation de tous les mots de passe et clés accessibles à partir de l'ancien système de construction.
  • Auditer tous les enregistrements GitHub de l'année écoulée pour rechercher les commits susceptibles d'avoir introduit des vulnérabilités similaires.

Pour en savoir plus en détail, consultez l'annonce officielle de Webmin.

Les pirates exploitent les vulnérabilités révélées par DEF CON et Black Hat

Un rapport ZDNet publié la semaine dernière a révélé que des attaquants exploitaient maintenant les vulnérabilités rendues publiques plus tôt ce mois-ci. Bad Packet a rapporté sur Twitter avoir détecté plusieurs «tentatives d'exploitation active» par des attaquants vendredi.

De nombreux attaquants ciblent également les vulnérabilités de Pulse Secure VPN et de Fortinet FortiGate VPN. Certaines de ces vulnérabilités ont été abordées dans une discussion sur Black Hat intitulée «Infiltrer l’intranet de l’entreprise, comme la NSA: autoriser RCE sur des VPN SSL de premier plan».

Des paquets incorrects dans un article de blog ont révélé que ses pots de miel ont détecté une «activité d'analyse en masse opportuniste» ciblant les noeuds finaux de serveur Pulse Secure VPN vulnérables à CVE-2019-11510. Cette vulnérabilité révèle des informations sensibles permettant à des attaquants non authentifiés d'accéder aux clés privées et aux mots de passe utilisateurs.

Kevin Beaumont, chercheur en sécurité, a tweeté que les pirates informatiques recherchent des périphériques vulnérables sur Internet afin de récupérer des fichiers de session VPN à partir de FortiGate de Fortinet.

Lire la suite

Puppet lance Puppet Remediate, une solution de correction de vulnérabilité pour les opérations informatiques

Nouvelle vulnérabilité Bluetooth, l'attaque KNOB peut manipuler les données transférées entre deux appareils couplés

Apple annonce la «politique de prévention du suivi WebKit» qui considère le suivi Web comme une faille de sécurité

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.