Der Infektionsweg
Der Schadcode wurde in die Release-Archive auf Sourceforge eingefügt. Der unbekannte Angreifer muss dabei über einen längeren Zeitraum die Möglichkeit gehabt haben, den Release-Prozess zu beeinflussen: In unterschiedlichen Versionen der Software sind verschiedene Varianten von Hintertüren, wie golem.de dazu erläuterte.
Was ist Webmin?
Webmin ist eine unter einer BSD-Lizenz veröffentlichte freie Software, mit der man auf Unix-Systemen die Konfiguration des Betriebssystems über ein Webinterface vornehmen kann. Die Software ist in Perl geschrieben.
Wo befindet sich die Sicherheitslücke?
Die eingefügten Sicherheitslücken finden sich in der Funktion zum Ändern des Passworts. Golem hat die Hintertüren mit Hilfe des IT-Sicherheitsexperten Roman Mueller in einer lokalen Installation analysiert. Dabei zeigte sich, dass je nach Version von Webmin zwei verschiedene Hintertüren vorhanden sind.
In Version 1.900 und höher ruft der verwundbare Perl-Code die Funktion qx auf und übergibt als Parameter die Variable für das alte Passwort, die schlicht "old" heißt. Diese Funktion führt die übergebene Variable als Shell-Code aus. Aufgerufen wird dieser Code allerdings nur, wenn Webmin so konfiguriert ist, dass Nutzer ihre Passwörter ändern können.
In der älteren Version 1.890 wird ebenfalls qx aufgerufen, allerdings mit einer anderen Variablen ("expired"). Zudem funktioniert die Hintertür dort auch in der Standardkonfiguration, da der Code früher aufgerufen wird.
Beide Hintertüren sind nicht im Github-Repository von Webmin zu finden. Nur die Release-Tarballs, die das Projekt auf Sourceforge veröffentlicht, sind kompromittiert. Mitarbeiter von Sourceforge haben jedoch erklärt, dass sie den Vorfall analysiert haben und dass die kompromittierten Dateien genau die sind, die vom Projekt hochgeladen wurden.
Fehlermeldung ohne sofortige Konsequenzen
Bereits vor einem Jahr bemerkte ein Nutzer von Webmin Unstimmigkeiten mit dem Code. Das bestätigt auch ein Fehlerbericht auf Github, der unerklärliche Fehlermeldungen erwähnt. Welche Brisanz sich tatsächlich mit der Problematik verband wurde jedoch nicht erkannt.
Stellungname Webmin
Inzwischen hat Webmin eine Stellungnahme veröffentlicht und neue Versionen mit den Versionsnummern 1.930 und 1.780 veröffentlicht. Darin kritisieren die Webmin-Entwickler, dass Informationen über die Sicherheitslücke einfach veröffentlicht wurden, ohne vorab mit ihnenKontakt aufzunehmen. Neben der entfernten Hintertür sind in den neuen Versionen auch einige Cross-Site-Scripting-Sicherheitslücken geschlossen worden, so Golem.
