A datacenter

自己ホスト型の Web 管理ソリューションである CloudPanel には、すべてのインストールで同じ SSL 証明書の秘密鍵を使用したり、ファイアウォール ルールを意図せずに上書きしてデフォルトの設定を弱くしたりするなど、いくつかのセキュリティ上の問題があることが判明しました。

この脆弱性は、Rapid7 の研究者である Tod Beardsley によって 2022 年 11 月に発見され、ソフトウェア ベンダーの MGT-COMMERCE に報告されました。

この記事の執筆時点では、上記の 2 つの問題は未解決のままでしたが、ソフトウェア開発者はインストール スクリプトに関する 3 つ目のセキュリティ問題に対処しました。

  1. CloudPanel の欠陥
  2. 影響

CloudPanel の欠陥

最初の問題は、完全性チェックなしでコードをダウンロードするための「curl to bash」インストール手順の信頼性に関するもので、ベンダーはインストール スクリプトの暗号的に安全なチェックサムを公開することで迅速に対処しました。

2 つ目の問題は、 CloudPanel のインストール スクリプトが、サーバーの既存の複雑でないファイアウォール (ufw) ルールをリセットし、はるかに寛容なルールセットを導入することです。

これは、CloudPanel のインストール後に、特定の IP アドレスのみがサーバーのポートにアクセスできるように管理者がサーバーのファイアウォールを構成した場合、これらのルールは以下のより寛容なルールセットに置き換えられることを意味します。

安全でない設定へのファイアウォール ルールのリセット
ファイアウォール ルールが安全でない設定にリセットされる(Rapid7)

さらに、インストール後の CloudPanel のスーパーユーザー管理者アカウントは空白のままであり、知識が豊富で迅速に行動する攻撃者が独自のパスワードを設定し、システムを制御できるようになります。

攻撃者は、Rapid7 によって発見された 3 番目の問題によって可能になったこの問題を悪用するために、CloudPanel の新規インストールを見つける必要があります。

CloudPanel ドキュメントは、次のメッセージでこの問題を警告しています。

「セキュリティ上の理由から、CloudPanel にできるだけ早くアクセスして、管理者ユーザーを作成してください。ボットがユーザーを作成できる短い時間枠があります。可能であれば、ファイアウォールを介して IP に対してのみポート 8443 を開きます」と、CloudPanel のインストール ドキュメントで説明しています。 .

3 番目の欠陥は CVE-2023-0391 として追跡されており、静的 SSL 証明書を使用して CloudPanel をインストールすることが原因であり、攻撃者は証明書の拇印を使用して CloudPanel インスタンスを見つけることができます。

さらに懸念されるのは、CloudPanel に同梱されているすべての SSL 証明書の秘密鍵が同じであるため、攻撃者が CloudPanel サーバーへの暗号化された HTTPS トラフィックをスヌープできる可能性があることです。

すべての CloudPanel インストールに同梱される証明書
すべての CloudPanel インストールに同梱される証明書(Rapid7)

影響

Shodan インターネット スキャン ツールを使用して、Rapid7 はデフォルトの証明書を使用する 5,843 の CloudPanel サーバーを検出しました。そのほとんどは米国とドイツに拠点を置いています。

脆弱な CloudPanel サーバーに対する Shodan の結果
CloudPanel サーバーの Shodan の結果
(ラピッド7)

「ファイアウォールの寛容性と再利用された証明書の問題を連鎖させることで、攻撃者は展開されている新しい CloudPanel インスタンスを標的にして悪用することができます」と Rapid7 のリサーチ ディレクターである Tod Beardsley 氏はレポートで説明しています。

「CloudPanel は、基本的な Linux 管理用の使いやすいインターフェイスであると宣伝されており、比較的経験の浅いユーザーを対象としており、ドキュメントの多くは、新しい VPS インスタンスを使用してルーティング可能なインターネット上でインストール手順が実行されることを想定していることに注意することが重要です。」

セルフ ホスティングは現在トレンド フェーズを迎えており、プライバシーとデータ コントロール、カスタマイズ、およびコスト削減の価値が高まることで人気が爆発的に高まっています。

CloudPanel は、AWS、Azure、GCP、Digital Ocean などのクラウド サービス プロバイダーの Web サイトで目立つように取り上げられており、自己ホスト型 Linux サーバーの使いやすい管理ソリューションとして宣伝されています。

ただし、ファイアウォールと SSL 証明書の問題に対する修正がないため、ユーザーは CloudPanel をインストールした後すぐにファイアウォール ルールを再構成し、独自の SSL 証明書を生成してインストールすることをお勧めします。