FortBridge-beveiligingsonderzoekers hebben onlangs code-uitvoering op afstand bereikt en privilege escalatie op cPanel, de populaire configuratieschermsoftware voor webhosting, en WHM met behulp van een opgeslagen cross-site scripting (XSS) fout.
cPanel-fouten ontdekt tijdens Black-Box Pentest
Het team ontdekte meerdere kwetsbaarheden in cPanel/WHM tijdens een black-box pentest. De meest cruciale bug is een escalatie van bevoegdheden via opgeslagen XSS. Blijkbaar, het gepentesteerde cPanel-account was in feite een reseller-account met toestemming om landinstellingen te bewerken. Bovendien, de XSS-fout wordt als een functie beschouwd, en het was niet opgelost. Het rapport van de onderzoekers laat zien hoe deze "functie" kan worden misbruikt om privileges te escaleren naar root.
De onderzoekers toonden ook de uitvoering van externe code aan die kan worden bereikt via een "meer ingewikkelde" CSRF-bypass gekoppeld aan een cross-site WebSocket-kapingaanval die mogelijk was doordat WebSockets de Origin-header van hun verzoeken niet kon controleren. Aangezien Chrome SameSite-cookies standaard heeft ingeschakeld, deze aanval is getest in Firefox.
Heeft cPanel de problemen opgelost?
Het webhostingbedrijf heeft de bovengenoemde kwetsbaarheid niet aangepakt. Het deed, echter, repareer een aparte, XXE-kwetsbaarheid ook onthuld door Fortbridge. De reden? Aanvallers moeten worden geverifieerd met een reselleraccount met toestemming om landinstellingen te bewerken, een configuratie die niet standaard wordt geleverd.
In gesprek met The Daily Swig, Cory McIntire, producteigenaar in het cPanel-beveiligingsteam, zei dat "de Locale-interface alleen kan worden gebruikt door root- en Super Privilege-wederverkopers waaraan root deze specifieke ACL moet verlenen." Hij voegde er ook aan toe dat "dit een Super Privilege wordt genoemd met een waarschuwingspictogram in de WHM-interface van de serverbeheerder en ook als zodanig is gemarkeerd in de cPanel-documentatie.
In termen van bescherming, McIntire zei dat de serverbeheerder alle Locale Super Privileges zou moeten verwijderen die zijn toegekend aan 'niet-vertrouwde' wederverkopers.
"We waarderen de verantwoordelijke openbaarmaking van Fortbridge aan ons en hopen dat deze uitleg eventuele zorgen van onze klanten over dit probleem zal wegnemen," hij voegde toe.
"Het is van het grootste belang dat je alleen Super Privileges geeft aan mensen die je zou vertrouwen met root op je server."
cPanel werd in mei en juni op de hoogte gebracht van de kwetsbaarheden 2021. De volledige technische openbaarmaking is beschikbaar in Het artikel van Fortbridge.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: