Publicité en cours de chargement...
Une backdoor implantée dans vos serveurs Linux / Unix ?
Comme près de 37 000 serveurs français exposés directement sur Internet avec une configuration par défaut, dont plus de 36 000 sont vulnérables d’après Shodan, vous avez probablement dans vos SIH, des serveurs Linux / Unix sur lesquels est installé l’outil d’administration Webmin, cet outil permettant de configurer facilement et à distance un serveur via une interface Web.
Tout commence le 10 août dernier, lorsque chercheur turc Özkan Mustafa Akkuş révèle lors de la DefCon, une vulnérabilité 0day dans Webmin [1] sans en avoir informé l’équipe de développement de l’outil. Une attitude pas très fair-play de la part du chercheur, qui serait due à un contentieux sur une vulnérabilité qu’il aurait découverte dans le passé, mais qui n’aurait pas été reconnue par les mainteneurs du projet car les droits d’administration étaient nécessaires à son exécution.
Non content de révéler publiquement la vulnérabilité, mettant ainsi le fusil sur la tempe de l’équipe de développement et des administrateurs de systèmes Linux / Unix. Il a également armé le fusil en publiant un script pour le framework Mestasploit [2], permettant d’exploiter cette vulnérabilité CVE-2019-15107 [3], qui rend possible l’exécution de code arbitraire à distance avec les privilèges super-utilisateur et sans authentification sur les serveurs vulnérables. Il ne faut pas le chercher M’sieur Akkus !
L’équipe de développement a réagi rapidement en publiant un correctif pour la vulnérabilité dans la version 1.930 [4], disponible depuis le 17 août.
Nous apprenions en début de semaine par Jamie Cameron, l’auteur de Webmin, que cette vulnérabilité n’est pas due à une erreur d’un contributeur, mais bien à une porte dérobée volontairement introduite dans le code depuis la version 1.890 [5] publiée en juillet 2018, suite à la compromission du serveur de développement en avril 2018. Le serveur en question aurait été mis au rebus depuis et il ne serait donc pas possible d’investiguer sur cette compromission.
Il est important de noter que la vulnérabilité ne peut être exploitée que si la fonctionnalité d’expiration des mots de passe est activée sur Webmin et que celle-ci n’est pas activée par défaut.
Dans tous les cas, il semble important de faire le point sur les versions de Webmin déployées et patcher rapidement afin d’éradiquer ce code malveillant potentiellement introduit dans vos serveurs.
On dirait bien que les dossiers sensibles s’entassent pour la rentrée...
[1]
[2]
[3]
[4]
[5]
Avez-vous apprécié ce contenu ?
A lire également.
Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...
Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.
En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...
