Une backdoor implantée dans vos serveurs Linux / Unix ?
Comme près de 37 000 serveurs français exposés directement sur Internet avec une configuration par défaut, dont plus de 36 000 sont vulnérables d’après Shodan, vous avez probablement dans vos SIH, des serveurs Linux / Unix sur lesquels est installé l’outil d’administration Webmin, cet outil permettant de configurer facilement et à distance un serveur via une interface Web.
Tout commence le 10 août dernier, lorsque chercheur turc Özkan Mustafa Akkuş révèle lors de la DefCon, une vulnérabilité 0day dans Webmin [1] sans en avoir informé l’équipe de développement de l’outil. Une attitude pas très fair-play de la part du chercheur, qui serait due à un contentieux sur une vulnérabilité qu’il aurait découverte dans le passé, mais qui n’aurait pas été reconnue par les mainteneurs du projet car les droits d’administration étaient nécessaires à son exécution.
Non content de révéler publiquement la vulnérabilité, mettant ainsi le fusil sur la tempe de l’équipe de développement et des administrateurs de systèmes Linux / Unix. Il a également armé le fusil en publiant un script pour le framework Mestasploit [2], permettant d’exploiter cette vulnérabilité CVE-2019-15107 [3], qui rend possible l’exécution de code arbitraire à distance avec les privilèges super-utilisateur et sans authentification sur les serveurs vulnérables. Il ne faut pas le chercher M’sieur Akkus !
L’équipe de développement a réagi rapidement en publiant un correctif pour la vulnérabilité dans la version 1.930 [4], disponible depuis le 17 août.
Nous apprenions en début de semaine par Jamie Cameron, l’auteur de Webmin, que cette vulnérabilité n’est pas due à une erreur d’un contributeur, mais bien à une porte dérobée volontairement introduite dans le code depuis la version 1.890 [5] publiée en juillet 2018, suite à la compromission du serveur de développement en avril 2018. Le serveur en question aurait été mis au rebus depuis et il ne serait donc pas possible d’investiguer sur cette compromission.
Il est important de noter que la vulnérabilité ne peut être exploitée que si la fonctionnalité d’expiration des mots de passe est activée sur Webmin et que celle-ci n’est pas activée par défaut.
Dans tous les cas, il semble important de faire le point sur les versions de Webmin déployées et patcher rapidement afin d’éradiquer ce code malveillant potentiellement introduit dans vos serveurs.
On dirait bien que les dossiers sensibles s’entassent pour la rentrée...
[1]
[2]
[3]
[4]
[5]
Avez-vous apprécié ce contenu ?
A lire également.
La société Nexpublica France sanctionnée par la Cnil
06 jan. 2026 - 07:56,
Actualité
- Damien Dubois, DSIHLe 22 décembre 2025, la Cnil a annoncé avoir infligé une amende de 1 700 000 euros à la société Nexpublica France pour manquement à l’obligation d’assurer la sécurité des données personnelles.
Mise en place du Registre national des cancers
06 jan. 2026 - 07:54,
Actualité
- Damien Dubois, DSIHUn décret du Conseil d’État, paru le 28 décembre, fixe les modalités de mise en œuvre du Registre national des cancers. La loi du 30 juin 2025 confiait le pilotage et la production des données d’épidémiologie et de soins à l’Institut national du cancer.
Cyber : on est les meilleurs !
06 jan. 2026 - 07:46,
Tribune
-En 2025, on n’aura pas gagné la Coupe du monde de foot, on n’aura pas trouvé de pétrole sous l’Arc de Triomphe, on n’aura pas rapatrié Gemplus (que les Américains nous ont chipé dans les règles de l’art), mais on aura battu un record : celui du pays qui cumule le plus de fuites de données personnell...
VIDAL lance un programme stratégique d’intégration IA générative à sa base de connaissances médicales
23 déc. 2025 - 07:21,
Communiqué
- VIDALVIDAL, spécialiste européen de l’aide à la décision thérapeutique, engage un programme stratégique pour connecter les technologies d’Intelligence Artificielle (IA) de pointe à sa base de connaissances médicales et à ses outils d’aide à la décision (CDS), reconnus pour leur fiabilité. Ce projet marqu...
