Et eksempel på angrepskode som utnytter en alvorlig sårbarhet i det webbaserte serveradministrasjonsverktøyet Webmin ble nylig publisert på internett. En sikkerhetsfiks som fjerner sårbarheten fra Webmin ble først utgitt den 17. august i år.
Sårbarheten berører en rekke versjoner av Webmin som har blitt utgitt siden første halvdel av 2018 (versjonene 1.882 til 1.921), men i de fleste versjoner kan sårbarheten kun utnyttes dersom en innstilling for endring av utløpte passord har blitt aktivert. Dette er ikke standardinnstillingen, bortsett fra i versjon 1.890 som bør oppdateres umiddelbart til versjon 1.930.
Fjernkjøring
Sårbarheten er av typen RCE (Remote Command Execution), det vil si at den åpner for fjernkjøring av kommandoer på det berørte systemet.
Webmin benyttes primært til fjernadministrasjon av Linux- og Solaris-systemer.
En sikkerhetsforsker som på Twitter kaller seg for Shishi0_, har funnet mer enn 13.000 sårbare systemer som eksponerer Webmin-porten direkte mot internett. Webmin benytter vanligvis port 10000. Slik eksponering frarådes sterkt, spesielt dersom webgrensesnittet leveres ukryptert, altså med HTTP.
En bedre løsning for fjerntilgang til Webmin via internett, er å bruke en SSH-tunnel til serveren. En oppskrift for å opprette en slik tunnel mellom en Linux-maskin og SSH-klienten PuTTY, finnes på denne siden.
