Webmin Remote Code Execution Zafiyeti

Webmin Remote Code Execution Zafiyeti

Linux/Unix sistemler için popüler olan Webmin'de keşfedilen "Remote Code Execution" zafiyetinin aynı zamanda bir sene boyunca gizli kalan arka kapı olduğu ortaya çıktı.

Zafiyet 1.882 ve 1.921 arasındaki sürümleri etkilemektedir. Linux, FreeBSD ve OpenBSD gibi sunucuların yönetimi için popüler olarak kullanılan açık kaynaklı uygulama olan Webmin, her sene 3 milyondan fazla indirmeye sahip.

CVE-2019-15107 | Webmin 1.882 <= 1.921 - Unauthenticated Remote Code Execution Vulnerability

Bu kritik zafiyet Barikat Güvenlik Test Hizmetleri Uzmanlarından Özkan Mustafa Akkuş tarafından bir sıfırıncı gün(0day) açıklığı olarak 10 Ağustos 2019 tarihinde canlı sunum olarak DEFCON organizasyonunda yayımlandı.

Akkuş, sıfırıncı gün açıklığını halka açık hale getirdikten sonra zafiyetin giderilmesi ve doğrulamasının yapılması amacıyla Metasploit Framework ile uyumlu çalışan bir exploiti de beraberinde paylaştı.

Zafiyetin ve çalışır halde olan exploitin paylaşılmasının ardından aktif sistemlerin etkilenmesiyle geliştiriciler zafiyetin giderilmesine yönelik çalışma sergiledi. Ancak geliştiricilere ait resmi Github hesabında zafiyetli kodların yer almamasının yanı sıra yine resmi yayın kaynakları olan SourceForge ve web sitelerindeki indirme linklerinin zafiyetli kodları barındırması oldukça şüphe çekti.

Akabinde zafiyeti keşfeden Akkuş, geliştiriciler ve diğer global araştırmacıların tartışmaları sonucunda bu durumun daha derin bir olguya ulaştığına karar verildi.

Resmi açıklama yapan Webmin geliştiricileri, Github kodlarının temiz olduğunu ve Sourceforge indirme linklerine hacklerlar tarafından arka kapı yerleştirdiğini duyurdu. Açıklama sonrasında siber güvenlik dünyasında büyük bir çalkalanma yaşandı ve binlerce sunucunun ciddi derecede tehlikede olduğunun bilgisi yayıldı.

Çözüm / Öneri

Uygulamanın son sürüm olan 1.930 sürümüne yükseltilmesi gerekmektedir.

İşletim Sistemleri

• --

Sürümler

• --

CVE / CWE

CVE-2019-15107

Ek Bilgi

1. https://www.pentest.com.tr/exploits/DEFCON-Webmin-1920-Unauthenticated-Remote-Command-Execution.html
2. https://thehackernews.com/2019/08/webmin-vulnerability-hacking.html
3. https://www.tenable.com/blog/cve-2019-15107-exploit-modules-available-for-remote-code-execution-vulnerability-in-webmin
4. https://www.zdnet.com/article/backdoor-found-in-webmin-a-popular-web-based-utility-for-managing-unix-servers/
5. http://webmin.com/security.html
6. http://www.reddit.com/r/netsec/comments/crk77z/0day_remote_code_execution_for_webmin/