Publicité en cours de chargement...
Une backdoor implantée dans vos serveurs Linux / Unix ?
Comme près de 37 000 serveurs français exposés directement sur Internet avec une configuration par défaut, dont plus de 36 000 sont vulnérables d’après Shodan, vous avez probablement dans vos SIH, des serveurs Linux / Unix sur lesquels est installé l’outil d’administration Webmin, cet outil permettant de configurer facilement et à distance un serveur via une interface Web.
Tout commence le 10 août dernier, lorsque chercheur turc Özkan Mustafa Akkuş révèle lors de la DefCon, une vulnérabilité 0day dans Webmin [1] sans en avoir informé l’équipe de développement de l’outil. Une attitude pas très fair-play de la part du chercheur, qui serait due à un contentieux sur une vulnérabilité qu’il aurait découverte dans le passé, mais qui n’aurait pas été reconnue par les mainteneurs du projet car les droits d’administration étaient nécessaires à son exécution.
Non content de révéler publiquement la vulnérabilité, mettant ainsi le fusil sur la tempe de l’équipe de développement et des administrateurs de systèmes Linux / Unix. Il a également armé le fusil en publiant un script pour le framework Mestasploit [2], permettant d’exploiter cette vulnérabilité CVE-2019-15107 [3], qui rend possible l’exécution de code arbitraire à distance avec les privilèges super-utilisateur et sans authentification sur les serveurs vulnérables. Il ne faut pas le chercher M’sieur Akkus !
L’équipe de développement a réagi rapidement en publiant un correctif pour la vulnérabilité dans la version 1.930 [4], disponible depuis le 17 août.
Nous apprenions en début de semaine par Jamie Cameron, l’auteur de Webmin, que cette vulnérabilité n’est pas due à une erreur d’un contributeur, mais bien à une porte dérobée volontairement introduite dans le code depuis la version 1.890 [5] publiée en juillet 2018, suite à la compromission du serveur de développement en avril 2018. Le serveur en question aurait été mis au rebus depuis et il ne serait donc pas possible d’investiguer sur cette compromission.
Il est important de noter que la vulnérabilité ne peut être exploitée que si la fonctionnalité d’expiration des mots de passe est activée sur Webmin et que celle-ci n’est pas activée par défaut.
Dans tous les cas, il semble important de faire le point sur les versions de Webmin déployées et patcher rapidement afin d’éradiquer ce code malveillant potentiellement introduit dans vos serveurs.
On dirait bien que les dossiers sensibles s’entassent pour la rentrée...
[1]
[2]
[3]
[4]
[5]
Avez-vous apprécié ce contenu ?
A lire également.
Le CHRU de Nancy lance DataStan, son Entrepôt de Données de Santé, pour une recherche responsable, sécurisée et transparente
14 jan. 2026 - 14:37,
Actualité
- Rédaction, DSIHLe CHRU de Nancy mettra en service, au cours du premier trimestre 2026, DataSTAN, son Entrepôt de Données de Santé (EDS). Ce projet, initié il y a plus de cinq ans, a pour objectif de faciliter les projets de recherche sur données de santé dans un cadre réglementaire et sécurisé, au bénéfice des pat...
Ouverture de l’appel à projets de la deuxième phase du programme Hop’en 2
12 jan. 2026 - 22:00,
Actualité
- Damien DuboisLe 7 janvier 2026, le ministère chargé de la Santé a annoncé le lancement de la deuxième phase du programme Hop’en. Les candidatures sont ouvertes jusqu’au 13 février prochain.
La société Nexpublica France sanctionnée par la Cnil
06 jan. 2026 - 07:56,
Actualité
- Damien Dubois, DSIHLe 22 décembre 2025, la Cnil a annoncé avoir infligé une amende de 1 700 000 euros à la société Nexpublica France pour manquement à l’obligation d’assurer la sécurité des données personnelles.
Mise en place du Registre national des cancers
06 jan. 2026 - 07:54,
Actualité
- Damien Dubois, DSIHUn décret du Conseil d’État, paru le 28 décembre, fixe les modalités de mise en œuvre du Registre national des cancers. La loi du 30 juin 2025 confiait le pilotage et la production des données d’épidémiologie et de soins à l’Institut national du cancer.
