Uzak saldırganların ayrıcalıkları artırmasına ve kök seviyesi erişimi ile kodu yürütmesine izin veren yaygın olarak kullanılan bir web tabanlı sistem yönetimi aracı olan Webmin’de kritik bir güvenlik açığı keşfedilmiştir.
CVE-2025-2774 olarak belirlenen bu kusur, yazılımın etkilenen sürümlerini çalıştıran sunucular için ciddi riskler oluşturmaktadır ve potansiyel olarak tam sistem uzlaşmasını mümkün kılar.
Kusur, Webmin’in CGI isteklerini ele almasında bir CRLF (Taşıma Dönüş Hattı Besleme) enjeksiyon güvenlik açığından kaynaklanır. Saldırganlar, sunucu yanıtlarını manipüle etmek, güvenlik kontrollerini atlamak ve kök ayrıcalıklarıyla keyfi komutlar yürütmek için CRLF dizilerinin uygunsuz nötralizasyonundan yararlanabilir. Güvenlik açığı, yaygın hasar potansiyelini yansıtan 8.8 (yüksek şiddet) CVSS skoru taşır.
.png
)
Güvenlik Açığı Detayları
- Sömürü gereksinimleri: Uzak Saldırganlar Webmin’in kimliğini doğrulamalıdır, ancak oturum açtıktan sonra, ayrıcalıkları kökten çıkarabilirler.
- Darbe: Başarılı sömürü, sunucu üzerinde tam kontrol sağlar, yapılandırma değişikliklerini, kötü amaçlı yazılım kurulumunu, veri hırsızlığı ve hizmet kesintisini etkinleştirir.
- Etkilenen sürümler: 10 Mart 2025’te yayınlanan 2.302 sürümünden önce webmin kurulumları.
Webmin geliştiricileri, yöneticileri güvenlik açığı düzeltmeleri de dahil olmak üzere hemen 2.302 sürümüne güncellemeye çağırdı. Güncelleme ayrıca MySQL/MariAdb izinlerindeki küçük regresyonları ele alıyor ve modül yapılandırma tasarrufunda güvenilirliği artırıyor.
- Yamayı Webmin’in yerleşik güncelleme mekanizması veya manuel kurulumu aracılığıyla uygulayın.
- Olağandışı aktivite, özellikle CGI istek anomalileri için sistem günlüklerini gözden geçirin.
- Güvenilir ağlara webmin erişimini kısıtlayın ve güçlü kimlik doğrulama uygulamalarını uygular.
Bu güvenlik açığı, yaygın olarak konuşlandırılan idari araçlarda kalıcı riskleri vurgulamaktadır. Yıllık 1 milyondan fazla kurulumla webmin, kurumsal ağlara sızmak isteyen saldırganlar için yüksek değerli bir hedeftir.
Keşif, 2024 ayrıcalık artış kusuru (CVE-2024-12828) ve 2021 arka kapı olayı dahil olmak üzere webmin’deki güvenlik sorunlarının geçmişini takip ediyor.
Güvenlik araştırmacıları, CRLF enjeksiyon kusurlarının genellikle yetersiz giriş validasyonundan kaynaklandığını ve kritik altyapı araçlarında titiz kod denetimi ihtiyacının altını çizdiğini vurgulamaktadır.
5 Mayıs 2025 itibariyle, yaygın bir sömürü bildirilmemiştir, ancak kamu açıklama zaman çizelgesi (28 Şubat – Mayıs 1), saldırganların yakında kusuru silahlandırabileceğini öne sürmektedir.
Bir forum gönderisinde, Webmin’in bakıcısı 2.302 sürümünün “yüksek bir öncelik olarak kabul edilmesi gerektiğini” belirtti ve SSH sunucu yönetimi ve güvenlik duvarı kuralı API’larında ek geliştirmeler not etti. Yama ayrıca Almanca çevirileri geliştirir ve tarih alanlarında kaçan HTML’yi düzeltir.
Yöneticilere gelecekteki güncellemeler için Webmin’in güvenlik sayfasını izlemeleri ve saldırı yüzeylerini en aza indirmek için en az ayrıcalıklı ilkelere uymaları önerilir. Kök erişimi tehlikede olduğunda, büyük ölçekli ihlalleri önlemek için hızlı eylem kritiktir.