Los investigadores de seguridad de FortBridge lograron recientemente la ejecución remota de código y escalada de privilegios en cPanel, el popular software de panel de control de alojamiento web, y WHM usando una secuencia de comandos entre sitios almacenada (XSS) falla.
Defectos de cPanel descubiertos durante el ensayo de caja negra
El equipo descubrió múltiples vulnerabilidades en cPanel / WHM durante una prueba de caja negra. El más importante de los errores es una escalada de privilegios a través de XSS almacenado. Al parecer,, la cuenta cPanel probada era de hecho una cuenta de revendedor con permiso para editar configuraciones regionales. Además, el defecto XSS se considera una característica, y no se solucionó. El informe de los investigadores muestra cómo se puede abusar de esta "función" para escalar privilegios a root.
Los investigadores también demostraron la ejecución remota de código que se puede lograr a través de un bypass CSRF "más complicado" encadenado con un ataque de secuestro de WebSocket entre sitios que fue posible debido a que WebSockets no pudo verificar el encabezado de origen de sus solicitudes.. Dado que Chrome tiene las cookies de SameSite habilitadas de forma predeterminada, este ataque fue probado en Firefox.
¿Ha solucionado cPanel los problemas??
La empresa de alojamiento web no ha abordado la vulnerabilidad mencionada anteriormente.. Lo hizo, sin embargo, arreglar una separada, Vulnerabilidad XXE también revelada por Fortbridge. La razón? Los atacantes deben estar autenticados con una cuenta de revendedor con permiso para editar las configuraciones regionales., una configuración que no viene por defecto.
En una conversación con The Daily Swig, Cory McIntire, propietario del producto en el equipo de seguridad de cPanel, dijo que "la interfaz Locale solo puede ser utilizada por revendedores root y Super Privilege a los que root debe otorgar esta ACL específica". También agregó que “esto está etiquetado como un Súper Privilegio con un ícono de advertencia en la interfaz WHM del administrador del servidor y también marcado como tal en la documentación de cPanel.
En términos de protección, McIntire dijo que el administrador del servidor tendría que eliminar cualquier superprivilegio de configuración regional otorgado a revendedores "no confiables"..
"Apreciamos la divulgación responsable de Fortbridge y esperamos que estas explicaciones alivien cualquier preocupación que nuestros clientes puedan tener con respecto a este problema.,", Agregó.
"Es de suma importancia que solo otorgue superprivilegios a las personas en las que confiaría con root en su servidor".
cPanel fue notificado de las vulnerabilidades durante mayo y junio 2021. divulgación técnica completa está disponible en Informe de Fortbridge.