I ricercatori della sicurezza di FortBridge hanno recentemente ottenuto l'esecuzione di codice remoto e aumento dei privilegi su cPanel, il popolare software del pannello di controllo dell'hosting web, e WHM utilizzando uno scripting cross-site memorizzato (XSS) difetto.
Difetti di cPanel scoperti durante Black-Box Pentest
Il team ha scoperto molteplici vulnerabilità in cPanel/WHM durante un pentest della scatola nera. Il più cruciale dei bug è un'escalation dei privilegi tramite XSS memorizzato. Apparentemente, l'account cPanel pentestato era in realtà un account rivenditore con il permesso di modificare le impostazioni locali. Inoltre, il difetto XSS è considerato una caratteristica, e non è stato risolto. Il rapporto dei ricercatori mostra come si possa abusare di questa "funzione" per aumentare i privilegi di root.
I ricercatori hanno anche dimostrato l'esecuzione di codice remoto che può essere ottenuta tramite un bypass CSRF "più contorto" concatenato con un attacco di dirottamento di WebSocket tra siti che è stato possibile a causa dell'incapacità dei WebSocket di controllare l'intestazione Origin delle loro richieste. Poiché Chrome ha i cookie SameSite abilitati per impostazione predefinita, questo attacco è stato testato in Firefox.
cPanel ha risolto i problemi??
La società di web hosting non ha affrontato la suddetta vulnerabilità. lo ha fatto, tuttavia, fissare un separato, Vulnerabilità XXE rivelata anche da Fortbridge. Il motivo? Gli aggressori devono essere autenticati con un account rivenditore con il permesso di modificare le impostazioni locali, una configurazione che non viene di default.
In una conversazione con The Daily Swig, Cory McIntire, proprietario del prodotto nel team di sicurezza di cPanel, disse che "l'interfaccia Locale può essere utilizzata solo dai rivenditori root e Super Privilege a cui root deve concedere questo specifico ACL". Ha anche aggiunto che "questo è etichettato come Super Privilegio con un'icona di avviso nell'interfaccia WHM degli amministratori del server e anche contrassegnato come tale nella documentazione di cPanel.
In termini di protezione, McIntire ha affermato che l'amministratore del server dovrebbe rimuovere qualsiasi Super Privilegio locale concesso a rivenditori "non attendibili".
"Apprezziamo la divulgazione responsabile di Fortbridge nei nostri confronti e speriamo che queste spiegazioni possano alleviare le preoccupazioni che i nostri clienti potrebbero avere riguardo a questo problema," Ha aggiunto.
"È della massima importanza che tu conceda Super Privilegi solo a persone di cui ti fideresti con root sul tuo server."
cPanel è stato informato delle vulnerabilità nei mesi di maggio e giugno 2021. Completa divulgazione tecnica è disponibile in Il resoconto di Fortbridge.