VARSEL (TLP:CLEAR)

[NorCERT-varsel] Kritisk sårbarhet i Webmin/Usermin

20-08-2019

NorCERT ønsker å gjøre oppmerksom på en kritisk sårbarhet i systemadministrasjonsprogrammet Webmin. Sårbarheten tillater en uautorisert bruker å oppnå fjernaksess til et berørt system. Den berører også tilleggsmodulen Usermin.

 

Berørte versjoner er 1.882 til og med 1.920, men Webmin 1.890 er ekstra sårbar da sårbarheten kan utnyttes med standardkonfigurasjon.

 

Sårbarheten (CVE-2019-15107) ble avdekket under DEFCON tidligere denne måneden[1], og utnyttes ved å injisere noen få tegn i filen password_change.cgi slik at en Perl-funksjon i filen kjører hva som helst som man mater funksjonen med.

 

For å utnytte sårbarheten må også følgende innstilling under Password være satt på:

Webmin -> Webmin Configuration -> Authentication -> Password = Prompt users with expired passwords to enter a new one

 

I følge Shodan er Webmin installert på rundt 215.000 maskiner verden rundt, og rundt 13.000 av disse er sårbare[2]. Metasploit-rammeverket inneholder en exploit for sårbarheten[3].

 

NorCERT anbefaler alle med berørte installasjoner å oppdatere Webmin til 1.930 og Usermin til 1.780 snarest.

 

 

Kilder:

[1] https://www.pentest.com.tr/blog/Defcon-AppSecVilage-Exploits.html

[2] https://www.shodan.io/search?query=http.title%3Awebmin

[3] https://pentest.com.tr/exploits/DEFCON-Webmin-1920-Unauthenticated-Remote-Command-Execution.html