Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Une backdoor implantée dans vos serveurs Linux / Unix ?

27 août 2019 - 18:46,
Tribune - Charles Blanc-Rolin
Sans le savoir, vous avez peut-être ouvert une porte aux attaquants sur vos serveurs Linux / Unix…

webmin_backdoor

Comme près de 37 000 serveurs français exposés directement sur Internet avec une configuration par défaut, dont plus de 36 000 sont vulnérables d’après Shodan, vous avez probablement dans vos SIH, des serveurs Linux / Unix sur lesquels est installé l’outil d’administration Webmin, cet outil permettant de configurer facilement et à distance un serveur via une interface Web.

shodan

Tout commence le 10 août dernier, lorsque chercheur turc Özkan Mustafa Akkuş révèle lors de la DefCon, une vulnérabilité 0day dans Webmin [1] sans en avoir informé l’équipe de développement de l’outil. Une attitude pas très fair-play de la part du chercheur, qui serait due à un contentieux sur une vulnérabilité qu’il aurait découverte dans le passé, mais qui n’aurait pas été reconnue par les mainteneurs du projet car les droits d’administration étaient nécessaires à son exécution.

Non content de révéler publiquement la vulnérabilité, mettant ainsi le fusil sur la tempe de l’équipe de développement et des administrateurs de systèmes Linux / Unix. Il a également armé le fusil en publiant un script pour le framework Mestasploit [2], permettant d’exploiter cette vulnérabilité CVE-2019-15107 [3], qui rend possible l’exécution de code arbitraire à distance avec les privilèges super-utilisateur et sans authentification sur les serveurs vulnérables. Il ne faut pas le chercher M’sieur Akkus !

L’équipe de développement a réagi rapidement en publiant un correctif pour la vulnérabilité dans la version 1.930 [4], disponible depuis le 17 août.

Nous apprenions en début de semaine par Jamie Cameron, l’auteur de Webmin, que cette vulnérabilité n’est pas due à une erreur d’un contributeur, mais bien à une porte dérobée volontairement introduite dans le code depuis la version 1.890 [5] publiée en juillet 2018, suite à la compromission du serveur de développement en avril 2018. Le serveur en question aurait été mis au rebus depuis et il ne serait donc pas possible d’investiguer sur cette compromission.

Il est important de noter que la vulnérabilité ne peut être exploitée que si la fonctionnalité d’expiration des mots de passe est activée sur Webmin et que celle-ci n’est pas activée par défaut.

Dans tous les cas, il semble important de faire le point sur les versions de Webmin déployées et patcher rapidement afin d’éradiquer ce code malveillant potentiellement introduit dans vos serveurs.

On dirait bien que les dossiers sensibles s’entassent pour la rentrée...


[1] 

[2] 

[3] 

[4] 

[5] 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Illustration Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

22 sept. 2025 - 22:42,

Communiqué

- Imprivata

Imprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Illustration Intelligence artificielle : construire la confiance, renforcer les compétences

Intelligence artificielle : construire la confiance, renforcer les compétences

22 sept. 2025 - 22:31,

Tribune

-
Nausica MAIORCA

Dans moins de trois ans, l’Intelligence Artificielle sera présente dans 90 % des établissements de santé. Déjà adoptée par un tiers d’entre eux, elle impose de dépasser le mythe technologique pour affronter la question d’un usage éclairé.

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.