Спецпроекты

В админские инструменты Linux и Unix подсадили бэкдор, который не могли найти целый год

6994
Свободное ПО Безопасность Администратору Стратегия безопасности Пользователю
Неизвестные злоумышленники скомпрометировали сервер разработчиков популярного инструмента для администрирования серверов Webmin и подсунули туда бэкдор. О его существовании стало известно только годом позже: не предупредив разработчиков, некий эксперт по безопасности представил отчёт на конференции DEF CON.

Тихой сапой

В инструментах для администрирования серверов под Unix/Linux выявлен бэкдор, который как минимум год оставался незамеченным, пока про него не рассказали на конференции DEF CON 2019.

Речь идёт о критической уязвимости нулевого дня в инструментах под названием Webmin и Usermin. По всей видимости, уязвимость была внесена в программный код преднамеренно.

Любой, кто знает о существовании этого бэкдора, получает возможность выполнять команды на сервере с правами суперпользователя (root), а это означает возможность захвата контроля над уязвимой целевой системой.

По словам автора Webmin Джейми Кэмерона (Jamie Cameron), в апреле 2018 г. кто-то скомпрометировал сервер тестовых сборок и добавил бэкдор в скрипт password_change.cgi. Код подтянулся в «проверенную» версию на GitHub, что позволило избежать обнаружения вредоноса. Впоследствии практически тот же код был добавлен в версию 1.900, а затем просочился из старых резервных копий в версию 1.920.

Таинственные злоумышленники подсунули бэкдор в популярный инструмент для администрирования серверов Webmin

Чтобы можно было задействовать вредоносный код, в настройках локальной инсталляции Webmin должна быть задействована опция подсказки пользователям об истечении сроков действия паролей. По умолчанию эта опция неактивна.

Нас никто не предупреждал

На конференции DEF CON 2019 некий эксперт по безопасности представил своё исследование уязвимости, и только благодаря этому разработчики Webmin вообще узнали о её существовании.

«Мы не получили никаких предварительных уведомлений об этом, что, на наш взгляд, весьма необычно и неэтично со стороны исследователя, который обнаружил эту уязвимость. Но в подобных случаях нам не остаётся сделать ничего, кроме как срочно всё исправить», - написали разработчики Webmin.

В результате срочным порядком была выпущена версия 1.930, из которой вредоносный код был убран. Заодно были исправлены несколько других менее серьёзных уязвимостей.

Вдобавок к этому разработчики пообещали усовершенствовать процедуры проверки своего кода, чтобы избежать подобных проблем в будущем.

«Регулярный аудит кода, особенно у популярных разработок, - абсолютно необходим, - комментирует Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Вредоносный компонент не могли выловить в течение года, то есть, всё это время пользователи Webmin/Usermin могли быть атакованы».



Событие месяца

CNews FORUM 2019 прошел с рекордным успехом

- Более 1,5 тысяч гостей     - 100 экспертных докладов   - 50 инновационных стендов

Точки роста

По определенным ИТ-направлениям Россия является примером для всего мира

Юрий Гаврилов

CDTO Металлоинвеста