FortBridge-Sicherheitsforscher haben kürzlich eine Remote-Codeausführung erreicht und privilege escalation auf cPanel, die beliebte Webhosting Control Panel Software, und WHM mit einem gespeicherten Cross-Site-Scripting (XSS) Fehler.
cPanel-Fehler beim Black-Box-Pentest entdeckt
Das Team entdeckte während eines Black-Box-Pentests mehrere Schwachstellen in cPanel/WHM. Der wichtigste Fehler ist eine Privilegieneskalation über gespeichertes XSS. Offenbar, das gesperrte cPanel-Konto war tatsächlich ein Reseller-Konto mit der Berechtigung zum Bearbeiten von Gebietsschemas. Weiter, der XSS-Fehler gilt als Feature, und es war nicht behoben. Der Bericht der Forscher zeigt, wie dieses „Feature“ missbraucht werden kann, um die Rechte an root auszuweiten.
Die Forscher demonstrierten auch die Remote-Code-Ausführung, die über einen „verwickelteren“ CSRF-Bypass erreicht werden kann, der mit einem Cross-Site-WebSocket-Hijacking-Angriff verkettet war, der möglich war, weil WebSockets es versäumten, den Origin-Header ihrer Anfragen zu überprüfen. Da Chrome standardmäßig SameSite-Cookies aktiviert hat, dieser Angriff wurde in Firefox getestet.
Hat cPanel die Probleme behoben??
Das Webhosting-Unternehmen hat die oben genannte Schwachstelle nicht behoben. Es hat, jedoch, ein separates reparieren, XXE-Schwachstelle auch von Fortbridge aufgedeckt. Der Grund? Angreifer müssen mit einem Reseller-Konto mit der Berechtigung zum Bearbeiten von Gebietsschemas authentifiziert werden, eine Konfiguration, die nicht standardmäßig vorhanden ist.
Im Gespräch mit The Daily Swig, Cory McIntire, Product Owner im cPanel-Sicherheitsteam, sagte dass „die Locale-Schnittstelle nur von Root- und Super Privilege-Resellern verwendet werden kann, denen Root diese spezielle ACL gewähren muss.“ Er fügte hinzu, dass "dies in der WHM-Oberfläche der Serveradministratoren als Superprivileg mit einem Warnsymbol gekennzeichnet und auch in der cPanel-Dokumentation als solche gekennzeichnet ist"..
In Sachen Schutz, McIntire sagte, dass der Serveradministrator alle Locale Super Privileges entfernen müsste, die „nicht vertrauenswürdigen“ Resellern gewährt wurden.
„Wir wissen die verantwortungsvolle Offenlegung von Fortbridge gegenüber uns zu schätzen und hoffen, dass diese Erklärungen alle Sorgen unserer Kunden in Bezug auf dieses Problem lindern werden.“," er fügte hinzu.
„Es ist von größter Bedeutung, dass Sie Super-Privilegien nur an Personen vergeben, denen Sie Root auf Ihrem Server anvertrauen würden.“
cPanel wurde im Mai und Juni über die Schwachstellen informiert 2021. Vollständige technische Offenbarung ist in Fortbridges Bericht.