Os pesquisadores de segurança do FortBridge alcançaram recentemente a execução remota de código e escalação de privilégios no cPanel, o popular software de painel de controle de hospedagem na web, e WHM usando um script de cross-site armazenado (XSS) falha.
Falhas do cPanel descobertas durante o Black-Box Pentest
A equipe descobriu várias vulnerabilidades no cPanel / WHM durante um pentest caixa-preta. O mais crucial dos bugs é um aumento de privilégios via XSS armazenado. Pelo visto, a conta cPanel penteada era na verdade uma conta de revendedor com permissão para editar localidades. além disso, a falha de XSS é considerada um recurso, e não foi consertado. O relatório dos pesquisadores mostra como esse "recurso" pode ser abusado para escalar privilégios para root.
Os pesquisadores também demonstraram a execução remota de código que pode ser alcançada por meio de um bypass CSRF "mais complicado" encadeado com um ataque de sequestro de WebSocket entre sites, que foi possível devido à falha do WebSockets em verificar o cabeçalho de origem de suas solicitações. Como o Chrome tem cookies SameSite ativados por padrão, este ataque foi testado no Firefox.
O cPanel corrigiu os problemas?
A empresa de hospedagem na web não abordou a vulnerabilidade mencionada. Fez, Contudo, consertar um separado, Vulnerabilidade XXE também divulgada por Fortbridge. O motivo? Os invasores precisam ser autenticados com uma conta de revendedor com permissão para editar localidades, uma configuração que não vem por padrão.
Em uma conversa com o The Daily Swig, Cory McIntire, product owner na equipe de segurança cPanel, disse que “a interface Locale só pode ser usada por revendedores root e Super Privilege que o root deve conceder esta ACL específica para.” Ele também acrescentou que “isso é rotulado como um Super Privilégio com um ícone de aviso na interface WHM dos administradores do servidor e também sinalizado como tal na documentação do cPanel.
Em termos de proteção, McIntire disse que o administrador do servidor precisaria remover quaisquer superprivilégios locais concedidos a revendedores "não confiáveis".
“Agradecemos a divulgação responsável da Fortbridge para nós e esperamos que essas explicações aliviem quaisquer preocupações que nossos clientes possam ter em relação a este problema," ele adicionou.
“É de extrema importância que você conceda Superprivilégios apenas às pessoas que você confiaria como root em seu servidor.”
cPanel foi notificado sobre as vulnerabilidades durante maio e junho 2021. A divulgação técnica completa está disponível em Artigo de Fortbridge.