Publicité en cours de chargement...
Une backdoor implantée dans vos serveurs Linux / Unix ?
Comme près de 37 000 serveurs français exposés directement sur Internet avec une configuration par défaut, dont plus de 36 000 sont vulnérables d’après Shodan, vous avez probablement dans vos SIH, des serveurs Linux / Unix sur lesquels est installé l’outil d’administration Webmin, cet outil permettant de configurer facilement et à distance un serveur via une interface Web.
Tout commence le 10 août dernier, lorsque chercheur turc Özkan Mustafa Akkuş révèle lors de la DefCon, une vulnérabilité 0day dans Webmin [1] sans en avoir informé l’équipe de développement de l’outil. Une attitude pas très fair-play de la part du chercheur, qui serait due à un contentieux sur une vulnérabilité qu’il aurait découverte dans le passé, mais qui n’aurait pas été reconnue par les mainteneurs du projet car les droits d’administration étaient nécessaires à son exécution.
Non content de révéler publiquement la vulnérabilité, mettant ainsi le fusil sur la tempe de l’équipe de développement et des administrateurs de systèmes Linux / Unix. Il a également armé le fusil en publiant un script pour le framework Mestasploit [2], permettant d’exploiter cette vulnérabilité CVE-2019-15107 [3], qui rend possible l’exécution de code arbitraire à distance avec les privilèges super-utilisateur et sans authentification sur les serveurs vulnérables. Il ne faut pas le chercher M’sieur Akkus !
L’équipe de développement a réagi rapidement en publiant un correctif pour la vulnérabilité dans la version 1.930 [4], disponible depuis le 17 août.
Nous apprenions en début de semaine par Jamie Cameron, l’auteur de Webmin, que cette vulnérabilité n’est pas due à une erreur d’un contributeur, mais bien à une porte dérobée volontairement introduite dans le code depuis la version 1.890 [5] publiée en juillet 2018, suite à la compromission du serveur de développement en avril 2018. Le serveur en question aurait été mis au rebus depuis et il ne serait donc pas possible d’investiguer sur cette compromission.
Il est important de noter que la vulnérabilité ne peut être exploitée que si la fonctionnalité d’expiration des mots de passe est activée sur Webmin et que celle-ci n’est pas activée par défaut.
Dans tous les cas, il semble important de faire le point sur les versions de Webmin déployées et patcher rapidement afin d’éradiquer ce code malveillant potentiellement introduit dans vos serveurs.
On dirait bien que les dossiers sensibles s’entassent pour la rentrée...
[1]
[2]
[3]
[4]
[5]
Avez-vous apprécié ce contenu ?
A lire également.
Webinaire : réussir son PCRA avec le programme CaRE, les clés partagées par Orange Cyberdefense
16 déc. 2025 - 14:03,
Communiqué
- Orange CyberdefenseOrange Cyberdefense organise un webinaire, le jeudi 8 janvier 2026 de 13h30 à 14h30, consacré à la phase opérationnelle du Domaine 2 du programme CaRE, dédié à la structuration des projets de continuité et de reprise d’activité (PCA/PRA) des établissements de santé.
Éclairage sur les "frictions" entre le Règlement sur l'IA et les différentes régulations numériques européennes
15 déc. 2025 - 22:12,
Tribune
-Le constat de la prolifération législative au niveau de l'Union Européenne en matière de régulation du numérique et de l'innovation est au cœur des débats en cette fin d'année.
Ho ho ho ! Le Père Noël arrive avec quelques cybercadeaux cette année
15 déc. 2025 - 21:42,
Tribune
-L’année 2025 aura été celle des arnaques touchant le dernier maillon faible de la chaîne de protection : notre cerveau.
IA en régulation d'urgence : 7 questions à poser avant tout déploiement
15 déc. 2025 - 11:32,
Tribune
-Entre promesses d'innovation et exigences opérationnelles, comment les établissements peuvent sécuriser leurs investissements IA en environnement critique.
