Vulnerabilidad de ejecución de comandos remotos en Webmin

Durante DEF CON 27 se publicó una vulnerabilidad que afecta al sistema de administración Webmin. La vulnerabilidad permite la ejecución de comandos remotos con privilegios de root. La publicación fue catalogada como 0-day debido a que en el momento no existía parche por parte del fabricante.

La vulnerabilidad tiene asignado el CVE-2019-15107.

El fallo de seguridad fue anunciado por Akkus y se puede leer el reporte original en su blog.

Para explotar el fallo es necesario que se cumpla un importante requisito previo: La activación de módulo Password Change. Esta opción no viene activada por defecto, por lo que el riesgo de ser explotado de forma masiva disminuye.

Nota: Password Change es la opción que permite a los usuarios modificar sus propias contraseñas y para activarla se debe hacer manual desde el dashboard de webmin o bien mediante el archivo de configuración.

Si bien existe una prueba de concepto desarrollada para ser utilizada mediante Metasploit, el equipo de NIVEL4 adaptó el exploit para ser utilizado sólo con una petición cURL y de esta forma poder validar masivamente el impacto de esta vulnerabilidad.

De acuerdo a los resultados obtenidos en Shodan, en Chile hay aproximadamente 800 webmin expuestos a internet. El equipo de NIVEL4 realizó un escaneo de forma masiva para determinar el nivel de sistemas en riesgo que podrían afectar a Chile y el resultado es 0%.

Distribuidos con versiones entre 1.890 y 1.920

Los sistemas análizados no son vulnerables debido a que no cuentan con la opción «Password Change» habilitada, sin embargo, si no realizan las actualizaciones correspondiente, a futuro cuando se requiera habilitar dicha opción, se encontrarán expuestos a un ciberataque.

Con fecha 18-agosto-2019, el fabricante publicó una actualización de seguridad que mitiga una serie de vulnerabilidades, entre ellas, la correspondiente a ejecución de comandos remoto.

Aviso de seguridad Webmin

Se recomienda actualizar a la versión 1.930, aún cuando la opción «password change» no esté siendo utilizada, ya que como se ve en el anuncio, se solucionan otras vulnerabilidades adicionales.

En el siguiente enlace, compartimos el script que permite validar si es posible explotar el fallo en tu propia instalación webmin.

GitHub – CVE-2019-15107 Bash POC.

Exploit DB – EDB-ID-47293

PacketStorm Security – 154141

One thought on “Vulnerabilidad de ejecución de comandos remotos en Webmin

Comments are closed.