In der Version 1.890 des webbasierte Systemadmin-Tool Webmin steckt seit über einem Jahr eine Backdoor, die das Ausführen von Kommandos als Root erlaubt. Die Version Webmin 1.930 ist von diesem Schadcode befreit. Nutzer sollten unbedingt ein Update machen.

Auch die Ausgaben 1.900 und 1.920 seien infiziert, heißt es in der Mitteilung bei Webmin. Dort allerdings sei ein Ausnutzen der Lücke in der Standard-Installation nicht möglich, schreiben die Webmin-Macher. Hat der Admin allerdings in den Einstellungen das Ändern von abgelaufenen Passwörtern erlaubt, so die Entwickler, sei es auch in diesen Versionen möglich.

Die Backdoor steckt nach den Recherchen des Teams bereits über ein Jahr in der Software. Im April 2018 habe es einen erfolgreichen Angriff auf den Entwicklungsserver gegeben. Über den Exploit sei Schadcode in das password_change.cgi-Skript eingeschleust worden. Den Angreifern sei es gelungen, ihr Vorgehen durch Ändern der Zeitstempel zu vertuschen. In den Git-Diffs sei kein Anzeichen davon aufgetaucht, heißt es in der Mitteilung.

Die betroffene Datei sei dann zwar durch eine Version von Github ersetzt worden, es habe im Juli 2018 aber einen neuerlichen Angriff gegeben, der der Version 1.900 galt. Dieser sei mit den genannten Einschränkungen erfolgt, dass es einer Änderung in den Einstellungen bedarf. Im September sei der Entwicklunsgserver zwar durch einen neu installierten ersetzt worden, die modifizierte Datei sei aber über ein Backup erneut eingespielt worden. Erst am 17. August sei man informiert worden, dass es einen Zero-Day-Exploit gebe, der die Lücke ausnutzt und man habe die saubere Version 1.930 veröffentlicht.