Les chercheurs en sécurité de FortBridge ont récemment réalisé l'exécution de code à distance et escalade de privilège sur cPanel, le logiciel de panneau de contrôle d'hébergement Web populaire, et WHM à l'aide d'un script intersites stocké (XSS) défaut.
Des défauts de cPanel découverts lors du Pentest Black-Box
L'équipe a découvert plusieurs vulnérabilités dans cPanel/WHM lors d'un pentest de boîte noire. Le plus crucial des bugs est une élévation de privilèges via XSS stocké. Apparemment, le compte cPanel testé était en fait un compte revendeur avec la permission de modifier les paramètres régionaux. En outre, la faille XSS est considérée comme une fonctionnalité, et ce n'était pas réglé. Le rapport des chercheurs montre comment cette « fonctionnalité » peut être utilisée de manière abusive pour élever les privilèges à la racine..
Les chercheurs ont également démontré l'exécution de code à distance qui peut être réalisée via un contournement CSRF «plus compliqué» enchaîné avec une attaque de piratage WebSocket entre sites, ce qui a été possible en raison de l'échec de WebSockets à vérifier l'en-tête Origin de leurs demandes.. Étant donné que Chrome a activé les cookies SameSite par défaut, cette attaque a été testée dans Firefox.
Est-ce que cPanel a résolu les problèmes?
La société d'hébergement Web n'a pas corrigé la vulnérabilité susmentionnée. Ça faisait, cependant, réparer un séparé, Vulnérabilité XXE également révélée par Fortbridge. La raison? Les attaquants doivent être authentifiés avec un compte revendeur avec l'autorisation de modifier les paramètres régionaux, une configuration qui ne vient pas par défaut.
Dans une conversation avec The Daily Swig, Cory McIntire, Product Owner au sein de l'équipe de sécurité cPanel, dit que "l'interface Locale ne peut être utilisée que par les revendeurs root et Super Privilege auxquels root doit accorder cette ACL spécifique". Il a également ajouté que « ceci est étiqueté comme un super privilège avec une icône d'avertissement dans l'interface WHM des administrateurs de serveur et également signalé comme tel dans la documentation de cPanel..
En termes de protection, McIntire a déclaré que l'administrateur du serveur devrait supprimer tous les super privilèges régionaux accordés aux revendeurs « non fiables ».
« Nous apprécions la divulgation responsable de Fortbridge et espérons que ces explications atténueront les inquiétudes de nos clients concernant ce problème.," il ajouta.
"Il est de la plus haute importance que vous ne donniez des super privilèges qu'aux personnes en qui vous avez confiance avec root sur votre serveur."
cPanel a été informé des vulnérabilités en mai et juin 2021. l'information technique complète est disponible en L'article de Fortbridge.