Kritisk sårbarhet i Webmin/Usermin

Publisert: 30.09.2019

Sårbarheten tillater en uautorisert bruker å oppnå fjerntilgang til et berørt system. Den berører også tilleggsmodulen Usermin.

Det er en kritisk sårbarhet i systemadministrasjonsprogrammet Webmin. Berørte versjoner er 1.882 til og med 1.920, men Webmin 1.890 er ekstra sårbar da sårbarheten kan utnyttes med standardkonfigurasjon.

Sårbarheten (CVE-2019-15107) ble avdekket under DEFCON tidligere denne måneden[1], og utnyttes ved å injisere noen få tegn i filen password_change.cgi slik at en Perl-funksjon i filen kjører hva som helst som man mater funksjonen med.

For å utnytte sårbarheten må også følgende innstilling under Password være satt på: Webmin -> Webmin Configuration -> Authentication -> Password = Prompt users with expired passwords to enter a new one

I følge Shodan er Webmin installert på rundt 215.000 maskiner verden rundt, og rundt 13.000 av disse er sårbare. Metasploit-rammeverket inneholder en exploit for sårbarheten[2].

Vi i NorCERT anbefaler alle med berørte installasjoner å oppdatere Webmin til 1.930 og Usermin til 1.780 snarest.

Kilder:

  1. https://www.pentest.com.tr/blog/Defcon-AppSecVilage-Exploits.html
  2. https://pentest.com.tr/exploits/DEFCON-Webmin-1920-Unauthenticated-Remote-Command-Execution.html