FortBridge -sikkerhedsforskere opnåede for nylig fjernudførelse af kode og privilegium eskalering på cPanel, den populære webhosting -kontrolpanelsoftware, og WHM ved hjælp af en lagret cross-site scripting (XSS) fejl.
cPanelfejl opdaget under Black-Box Pentest
Teamet opdagede flere sårbarheder i cPanel/WHM under en black-box pentest. Den mest afgørende af fejlene er en eskalering af privilegier via gemt XSS. Tilsyneladende, den pentesterede cPanel -konto var faktisk en forhandlerkonto med tilladelse til at redigere lokaliteter. Endvidere, XSS -fejlen betragtes som en funktion, og det blev ikke rettet. Forskernes rapport viser, hvordan denne "funktion" kan misbruges for at eskalere privilegier til root.
Forskerne demonstrerede også fjernudførelse af kode, der kan opnås via en "mere indviklet" CSRF-bypass, der er lænket med et WebSocket-kapringangreb på tværs af webstedet, som var muligt på grund af WebSockets manglende kontrol af deres anmodningers oprindelsesoverskrift. Da Chrome har aktiveret SameSite -cookies som standard, dette angreb blev testet i Firefox.
Har cPanel rettet problemerne?
Webhostingfirmaet har ikke taget fat på den førnævnte sårbarhed. Det gjorde, dog, ordne en separat, XXE -sårbarhed afsløres også af Fortbridge. Grunden? Angribere skal godkendes med en forhandlerkonto med tilladelse til at redigere lokaliteter, en konfiguration, der ikke kommer som standard.
I en samtale med The Daily Swig, Cory McIntire, produktindehaver på cPanel -sikkerhedsteamet, sagde at "Lokalgrænsefladen kun kan bruges af root- og Super Privilege -forhandlere, som root skal give denne specifikke ACL til." Han tilføjede også, at "dette er mærket som et Super Privilege med et advarselsikon i serverens administratorer WHM -grænsefladen og også markeret som sådan i cPanel -dokumentationen.
Med hensyn til beskyttelse, McIntire sagde, at serveradministratoren skulle fjerne alle Superprivilegier for lokale, der blev givet til 'upålidelige' forhandlere.
"Vi sætter pris på Fortbridge's ansvarlige videregivelse til os og håber, at disse forklaringer vil lette enhver bekymring, vores kunder måtte have om dette problem," han tilføjede.
"Det er yderst vigtigt, at du kun giver superprivilegier til folk, du ville stole på med rod på din server."
cPanel blev underrettet om sårbarhederne i løbet af maj og juni 2021. Fuld teknisk videregivelse er tilgængelig i Fortbridge's opskrift.