Hjem > Cyber ​​Nyheder > CVE-2021-45467 og CVE-2021-45466 CWP-fejl afslører Linux-servere
CYBER NEWS

CVE-2021-45467 og CVE-2021-45466 CWP-fejl afslører Linux-servere

CVE-2021-45467-og-CVE-2021-45466-sensorstechforum
To sårbarheder blev opdaget i kontrolwebpanelet (CWP) – en udbredt webhosting-administrationsplatform, der bruges af mere end 200,000 servere. Fejlene kunne tillade kodeudførelse som root på Linux-servere, og blev opdaget af Octagon Network-forsker Paulos Yibelo.

CVE-2021-45467 og CVE-2021-45466 CWP-sårbarheder

Fejlene fik følgende identifikatorer: CVE-2021-45467 (en filinkluderingsfejl) og CVE-2021-45466 (et problem med filskrivning). Det skal bemærkes, at sårbarhederne kan bruges til fjernudførelse af kodeangreb, når det bruges (lænket) sammen.




Mere om CWP og angrebene

CWP er tidligere kendt som CentOS Web Panel, og er en open source Linux-kontrolpanelsoftware designet til at skabe og administrere webhost-miljøer. CWP understøtter flere operativsystemer, herunder CentOS, Rocky Linux, Alma Linux, og Oracle Linux.

Begge sårbarheder var lokaliseret i dele af CWP-panelet, som er afsløret og uden autentificering i webroot.

Efter at have været vært for CWP i et lokalt miljø blev det hurtigt klart, at de fleste funktioner kræver administrative eller brugerkonti for at fungere. Da vi kun er interesseret i sårbarheder, der kan udnyttes uden brugergodkendelse eller interaktion, vi vil undgå alle de begrænsede sektioner og fokusere vores forskning på dele af panelet, der er eksponeret uden autentificering i webroot. Viser sig, ikke meget er udsat, rapporten forklaret.

At udnytte fejlene og injicere ondsindet kode fra en fjernressource i et RCE-angrebsscenarie, trusselsaktøren behøver kun at ændre inkluderingserklæringen, bruges til at indsætte indholdet af en PHP-fil i en anden PHP-fil, før serveren udfører den. Forskerne vil frigive en fuld PoC for røde hold, der opnår preauth RCE, når nok servere migrerer til den nyeste version.
Fuld teknisk videregivelse er tilgængelig i den oprindelige rapport.

relaterede Story: Windows -undersystem til Linux præsenterer en ny angrebsoverflade

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig