Sono state rilevate due vulnerabilità nel Pannello Web di controllo (CWP) – una piattaforma di gestione dell'hosting web ampiamente utilizzata utilizzata da più di 200,000 server. I difetti potrebbero consentire l'esecuzione di codice come root sui server Linux, e sono stati scoperti dal ricercatore di Octagon Network Paulos Yibelo.
Vulnerabilità CWP CVE-2021-45467 e CVE-2021-45466
Ai difetti sono stati assegnati i seguenti identificatori: CVE-2021-45467 (un bug di inclusione di file) e CVE-2021-45466 (un problema di scrittura del file). Va notato che le vulnerabilità potrebbero essere utilizzate per attacchi di esecuzione di codice in modalità remota, quando viene utilizzato (incatenato) insieme.
Maggiori informazioni su CWP e gli attacchi
CWP è precedentemente noto come CentOS Web Panel, ed è un software del pannello di controllo Linux open source progettato per la creazione e la gestione di ambienti host web. CWP supporta diversi sistemi operativi, incluso CentOS, Linux roccioso, Alma Linux, e Oracle Linux.
Entrambe le vulnerabilità si trovavano in parti del pannello CWP che sono esposte e senza autenticazione nella webroot.
Dopo aver ospitato CWP in un ambiente locale, è diventato subito evidente che la maggior parte delle funzionalità richiede l'esecuzione di account amministrativi o utente. Poiché siamo interessati solo alle vulnerabilità che possono essere sfruttate senza l'autenticazione o l'interazione dell'utente, eviteremo tutte le sezioni riservate e concentreremo la nostra ricerca su parti del pannello che sono esposte senza autenticazione nella webroot. Risulta, non molto è esposto, il rapporto ha spiegato.
Per sfruttare i difetti e iniettare codice dannoso da una risorsa remota in uno scenario di attacco RCE, l'attore della minaccia deve solo modificare l'istruzione include, utilizzato per inserire il contenuto di un file PHP in un altro file PHP prima che il server lo esegua. I ricercatori rilasceranno un PoC completo per le squadre rosse che ottengono la preautorizzazione RCE, una volta che un numero sufficiente di server migra all'ultima versione.
Completa divulgazione tecnica è disponibile in il report originale.
Story correlati: Il sottosistema Windows per Linux presenta una nuova superficie di attacco