Deux vulnérabilités ont été découvertes dans Control Web Panel (CWP) - une plate-forme de gestion d'hébergement Web largement utilisée par plus de 200,000 serveurs. Les failles pourraient permettre l'exécution de code en tant que root sur des serveurs Linux, et ont été découverts par le chercheur du réseau Octagon Paulos Yibelo.
Vulnérabilités CVE-2021-45467 et CVE-2021-45466 CWP
Les défauts ont reçu les identifiants suivants: CVE-2021-45467 (un bogue d'inclusion de fichier) et CVE-2021-45466 (un problème d'écriture de fichier). Il convient de noter que les vulnérabilités pourraient être utilisées pour des attaques d'exécution de code à distance, lorsqu'elle est utilisée (enchaîné) ensemble.
En savoir plus sur le CWP et les attentats
CWP était auparavant connu sous le nom de CentOS Web Panel, et est un logiciel de panneau de contrôle Linux open source conçu pour créer et gérer des environnements d'hébergement Web. CWP prend en charge plusieurs systèmes d'exploitation, y compris CentOS, Rocheux Linux, Alma Linux, et OracleLinux.
Les deux vulnérabilités étaient situées dans des parties du panneau CWP qui sont exposées et sans authentification dans la racine Web.
Après avoir hébergé CWP sur un environnement local, il est rapidement devenu évident que la plupart des fonctionnalités nécessitent des comptes d'administrateur ou d'utilisateur pour fonctionner.. Puisque nous ne nous intéressons qu'aux vulnérabilités qui peuvent être exploitées sans authentification ou interaction de l'utilisateur, nous éviterons toutes les sections restreintes et concentrerons nos recherches sur les parties du panneau qui sont exposées sans authentification dans le webroot. Il s'avère que, peu de choses sont exposées, le rapport a expliqué.
Pour exploiter les failles et injecter du code malveillant depuis une ressource distante dans un scénario d'attaque RCE, l'auteur de la menace n'a qu'à modifier l'instruction include, utilisé pour insérer le contenu d'un fichier PHP dans un autre fichier PHP avant que le serveur ne l'exécute. Les chercheurs publieront un PoC complet pour les équipes rouges qui obtiennent une RCE préautorisée, une fois que suffisamment de serveurs migrent vers la dernière version.
l'information technique complète est disponible en le rapport initial.
histoire connexes: Le sous-système Windows pour Linux présente une nouvelle surface d'attaque