Annonce d'une vulnérabilité critique affectant le logiciel Webmin

Des chercheurs de Firo Solutions ont publié le 17 août un article détaillant une vulnérabilité référencée CVE-2019-15107 affectant l’interface d’administration Webmin

Une vulnérabilité a été découverte par des chercheurs de Firo Solutions au sein de Webmin. Les détails de la vulnérabilité ont été détaillés dans un article le 17 août 2019.

1. Qu’est-ce que Webmin ?

Webmin est un logiciel sous licence BSD permettant l’administration d’un système Unix via une interface web (par défaut accessible sur le port TCP/10000). À l’instar de son homologue Plesk, Webmin a pour but de simplifier la gestion d’un serveur.

 

2. Quelle est la vulnérabilité ?

La vulnérabilité est due à un défaut de vérification au sein de l’interface de Webmin. Référencée CVE-2019-15107, celle-ci provenait d’un manque de vérification au sein du formulaire de réinitialisation du mot de passe présente sur la page password_change.cgi de l’interface web.

L’exploitation de la vulnérabilité s’effectue simplement via l’envoi de la requête suivante incluant la commande système ifconfig qui sera exécutée par le serveur lors de la lecture du paramètre old :

https://localhost:10000/password_change.cgi?user=root&pam=expired=2&old=XMCO | ifconfig&new1=XMCO&new2=XMCO

Ainsi, ce défaut de vérification permet à un attaquant distant et non authentifié d’injecter des commandes arbitraires dans le paramètre vulnérable et ainsi parvenir à faire exécuter du code sur le système sous-jacent.

 

3. Existe t-il un code d’exploitation ?

Oui, un code d’exploitation est publiquement disponible sous la forme d’un programme écrit en Ruby pour le framework offensif Metasploit.

 

4. Quelles sont les version affectées ?

Les versions de Webmin affectées sont les suivantes :

  • Webmin <= 1.921

 

5. Quelles sont les recommandation du CERT-XMCO ?

Le CERT-XMCO recommande l’application du correctif de sécurité en urgence pour cette vulnérabilité et la plus grande vigilance à l’égard de campagnes d’exploitation massives.


Références

http://www.webmin.com/security.html
http://www.webmin.com/changes.html
https://blog.firosolutions.com/exploits/webmin/

Adrien Guinault

Découvrir d'autres articles