Kritieke bugs in Control Web Panel stellen Linux-servers bloot aan RCE-aanvallen

Panneau Web CentOS Nachrichten

Onderzoekers hebben details bekendgemaakt van twee kritieke beveiligingsproblemen in: Configuratiescherm: die kunnen worden misbruikt als onderdeel van een exploitketen om vooraf geverifieerde uitvoering van externe code op getroffen servers te realiseren.

Bijgehouden als CVE-2021-45467, de kwestie betreft een geval van a kwetsbaarheid voor bestandsopname, die optreedt wanneer een webtoepassing wordt misleid om willekeurige bestanden op de webserver bloot te stellen of uit te voeren.

Control Web Panel, voorheen CentOS Web Panel, is een open-source Linux-configuratieschermsoftware die wordt gebruikt voor het implementeren van webhostingomgevingen.

Het probleem doet zich met name voor wanneer twee van de niet-geverifieerde PHP-pagina’s die in de toepassing worden gebruikt – „/user/login.php“ en „/user/index.php“ – een pad naar een scriptbestand niet adequaat kunnen valideren, volgens Octagon Networks ‚ Paulos Yibelo, die ontdekte en gemeld de gebreken.

Dit betekent dat om de kwetsbaarheid te misbruiken, het enige wat een aanvaller hoeft te doen is om de verklaring opnemen, dat wordt gebruikt om de inhoud van het ene PHP-bestand in een ander PHP-bestand op te nemen, om kwaadaardige code van een externe bron te injecteren en code-uitvoering te bewerkstelligen.

Interessant is dat, hoewel de toepassing beveiligingen had om pogingen om naar een bovenliggende map (aangeduid met „..“) over te schakelen als een „hackpoging“ te markeren, het niets deed om te voorkomen dat de PHP-interpreter een speciaal vervaardigde tekenreeks zoals „. $00.“ en het effectief bereiken van een volledige bypass.

Dit geeft niet alleen een kwaadwillende toegang tot beperkte API-eindpunten, het kan ook worden gebruikt in combinatie met een willekeurige kwetsbaarheid voor het schrijven van bestanden (CVE-2021-45466) om als volgt volledige uitvoering van externe code op de server te krijgen:

  • Stuur een null-byte-aangedreven payload voor bestandsopname om een ​​kwaadaardige API-sleutel toe te voegen
  • Gebruik API-sleutel om naar een bestand te schrijven (CVE-2021-45466)
  • Gebruik stap #1 om het bestand op te nemen waarin we zojuist hebben geschreven (CVE-2021-45467)

Na verantwoorde bekendmaking zijn de gebreken sindsdien verholpen door de CWP-beheerders, samen met: updates verzonden eerder deze maand.

David
Rate author
Hackarizona