Die Hintertür wurde absichtlich 2018 gepflanzt und während der Sicherheitskonferenz DEF CON 2019 gefunden, als Forscher auf bösartigen Code stießen.
Als eine kritische Zero-Day-Schwachstelle in einem Unix-Administrationstool namens Webmin gemeldet wurde, wurde in einer beunruhigenden Wendung enthüllt, dass der Fehler kein Zufall war. Laut den Forschern handelte es sich bei der Schwachstelle um eine geheime Hintertür, die fast ein Jahr vor ihrer Entdeckung in das beliebte Dienstprogramm gepflanzt worden war.
Die Hintertür gab jedem, der von ihrer Existenz wusste, die Möglichkeit, Befehle als root auszuführen, was bedeutet, dass ein Angreifer die Kontrolle über den anvisierten Endpunkt übernehmen konnte. Laut Jamie Cameron, dem Autor von Webmin, war die gefälschte Version 1.890. Es wurden zwei weitere Versionen mit nahezu identischem Hintertürcode gefunden, Version 1.900 und 1.920.
"Keine dieser beiden Versionen waren zufällige Fehler - vielmehr war der Webmin-Quellcode böswillig modifiziert worden, um eine nicht offensichtliche Schwachstelle hinzuzufügen", schrieb Cameron in einem Beitrag, in dem er die Probleme skizzierte.
Laut Cameron wurde der Webmin-Entwicklungs-Build-Server im April 2018 kompromittiert. Er sagte, dass zu diesem Zeitpunkt eine Schwachstelle in das Skript "password_change.cgi" eingefügt wurde. Cameron erklärte, durch die Rückdatierung der Datei sei diese auf eine "eingecheckte" Github-Version des Codes zurückgeführt worden und entging der Überprüfung. Der Code wurde dann mit der Version 1.890 des Webmin-Release ausgeliefert.
Im Juli 2018 aktualisierte der böswillige Akteur hinter der anfälligen Version des Skripts "password_change.cgi" die Datei dann erneut. Diesmal wirkte sich die Änderung auf die Version 1.900 von Webmin aus. "Diesmal wurde die Schwachstelle dem Code hinzugefügt, der nur ausgeführt wird, wenn die Änderung abgelaufener Passwörter aktiviert ist", schrieb der Autor.
Die Dinge wurden im September 2018 interessant, als der anfällige Build-Server außer Betrieb genommen und durch einen neu installierten Server mit CentOS 7 ersetzt wurde. Der anfällige Code wurde jedoch "gegenüber den auf dem ursprünglichen Server erstellten Sicherungen kopiert", erklärte der Autor.
So oder so wirkte sich der Fehler nur auf Systeme mit einer bestimmten Konfiguration aus. "Um den bösartigen Code auszunutzen, muss Ihre Webmin-Installation Webmin -> Webmin-Konfiguration -> Authentifizierung -> Richtlinie zum Ablauf des Passworts so eingestellt sein, dass Benutzer mit abgelaufenen Passwörtern zur Eingabe eines neuen Passworts aufgefordert werden. Diese Option ist nicht standardmäßig gesetzt, aber wenn sie gesetzt ist, erlaubt sie die entfernte Codeausführung", so eine Beschreibung des Fehlers.
Der Fehler selbst tauchte auf der DEF CON 2019 auf, als ein Forscher eine Zero-Day-Forschung veröffentlichte, die einen Fehler (CVE-2019-15107) illustrierte, der die Schwachstelle ausnutzte. Diese Forschungsarbeiten brachten Licht in den bösartigen Code, der im Juli 2018 eingeschleust wurde. "Als Reaktion darauf (auf CVE-2019-15107) wurde der Exploit-Code entfernt und Webmin Version 1.930 erstellt und für alle Benutzer freigegeben", schrieb Cameron.
