Server-Admin-Tool: Angreifer können 2FA von Webmin umgehen

Das Admin-Tool für Unix-Server Webmin ist verwundbar. Angreifer können unter anderem die Zwei-Faktor-Authentifizierung (2FA) umgehen. Es sind aber auch root-Attacken denkbar. Reparierte Versionen stehen zum Download bereit.

Unbefugte Zugriffe

Für die 2FA-Lücke (CVE-2026-42210) steht eine Einstufung des Bedrohungsgrads offensichtlich noch aus. Das Notfallteam CERT Bund vom BSI stuft die Gefahr in einem Beitrag insgesamt als „kritisch“ ein.

Im Sicherheitsbereich der Webmin-Website führen die Entwickler aus, dass Angreifer über die Basic-HTTP-Authentifizierung 2FA umgehen können. Für eine erfolgreiche Attacke müssen Angreifer aber Nutzernamen und Passwort kennen. In diesem Fall fällt nur der Einmalcode der 2FA weg.

Die root-Lücke steckt den Entwicklern zufolge in den integrierten Hilfeseiten des Tools. Wie ein derartiger Angriff im Detail ablaufen könnte, ist bislang unklar. Klappt eine Attacke, sollen Angreifer als root-Nutzer auf Instanzen zugreifen können. In so einer Position ist davon auszugehen, dass Angreifer die volle Kontrolle über Systeme erlangen. Weil mit dem Tool Server aus der Ferne verwaltet werden, kann eine solche Attacke weitreichende Folgen haben.

Die dritte nun geschlossene Schwachstelle betrifft das Squid-Modul. An dieser Stelle sind im Kontext des installierten Squid-Cachemanagers ebenfalls root-Attacken vorstellbar. Auch hier ist derzeit nicht bekannt, wie ein Angriff ablaufen könnte. Bislang gibt es seitens der Entwickler keine Berichte, dass Angreifer die Sicherheitslücken bereits ausnutzen

Update installieren

Admins sollten sicherstellen, dass sie mindestens die mit Sicherheitspatches ausgestattete Webmin-Ausgabe 2.640 installiert haben. Derzeit ist die Version 2.641 aktuell.

Die Version Webmin 2.600 aus dem vergangenen November hatte eine komplett überarbeitete Bedienoberfläche mitgebracht.

(des)