Kontrol Web Paneli (CWP) yazılımını etkileyen iki güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından, güvenlik açığı bulunan Linux sunucularında kök olarak uzaktan kod yürütme (RCE) elde etmek için zincirlenebilir.
CWP, önceden bilinen CentOS Web Paneli, adanmış web barındırma sunucularını ve sanal özel sunucuları yönetmek için ücretsiz bir Linux kontrol panelidir.
Octagon Networks’ün bulduğu iki güvenlik açığı Paulos Yibelo bir dosya ekleme güvenlik açığı (CVE-2021-45467) ve birlikte zincirlendiğinde RCE’ye yol açan bir dosya yazma (CVE-2021-45466) hatasıdır.
Kısacası, başarılı bir istismar, saldırganların kimlik doğrulaması olmadan kısıtlı API bölümüne ulaşmasını önlemek için güvenlik korumalarını atlamayı gerektirir.
Bu, dosya ekleme hatasını kullanarak bir API anahtarı kaydederek ve dosya yazma kusurunu kullanarak sunucuda kötü niyetli bir yetkili_anahtar dosyası oluşturarak yapılabilir.
CVE-2021-45467 dosya ekleme güvenlik açığı yamalanırken, Octagon Networks “bazılarının yamayı nasıl tersine çevirdiğini ve bazı sunucuları nasıl sömürdüğünü” gördüklerini söylüyor.
Octagon Networks, CVE-2021-45467 dosya ekleme güvenlik açığı düzeltilirken, “bazılarının yamayı nasıl tersine çevirdiğini ve bazı sunuculardan yararlandığını” gördüklerini söylüyor.
Güvenlik araştırmacıları ayrıca, CWP çalıştıran yeterli sayıda Linux sunucusunun en son sürüme yükseltilmesinden sonra bu kimlik doğrulama öncesi RCE zinciri için bir kavram kanıtı istismarı yayınlayacaklarını söylediler.
CWP geliştiricilerine göre, yazılımları şu işletim sistemlerini destekler: CentOS, Rocky Linux, Alma Linux ve Oracle Linux
CWP sitesi yaklaşık 30.000 sunucunun CWP çalıştırdığını iddia ederken, BleepingComputer neredeyse 80.000 İnternete açık CWP sunucusu BinaryEdge’de.
Ön kimlik doğrulama RCE zincirini keşfeden araştırmacılara göre, Shodan ve Censys’de 200.000’den fazla da bulunabilir.