Sårbarheten som nylig ble fjernet fra en versjon av serveradministrasjonsverktøyet Webmin, skal ha blitt injisert på et sted i bygginfrastrukturen til prosjektet. Sårbarheten, som i praksis var en bakdør, skal ikke ha eksistert i kildekoden for Webmin på Github.
Dette skriver en av Webmin-utviklerne, Joe Cooper, i et blogginnlegg.
I en epost til The Register skriver Cooper at innbruddet trolig har skjedd på en server som ikke har vært i drift på en stund, men angrepskoden fulgte med over på den nye infrastrukturen da bygg-mappene ble kopiert over.
Bygget på nytt
Webmin-programvaren har nå blitt bygd helt på nytt med utgangspunkt i den originale kildekoden.
Det er lite trolig at Webmin-prosjektet kommer til å finne ut nøyaktig hvordan innbruddet og plantingen av den ondsinnede koden faktisk skjedde, da den aktuelle serveren og loggfilene som var på denne, ikke lenger eksisterer.
Det loves at den nye infrastrukturen er betydelig sikrere enn den gamle.
Webmin-prosjektet ble ikke varslet om sårbarheten før flere dager etter at et eksempel på angrepskode var blitt offentliggjort på internett av en sikkerhetsforsker. Cooper legger i blogginnlegget ikke skjul på misnøyen med denne framgangsmåten. Det normale vil være å gi utviklerne en viss tid til å fjerne sårbarheten før detaljene blir offentliggjort.