LinuxコントロールパネルCWP、root権限でのコード実行が可能な脆弱性が見つかる、現在パッチ提供中

Control Web Panel(CWP)ソフトウェアに影響を与える2つのセキュリティ脆弱性が発見され、認証されていない攻撃者が脆弱なLinuxサーバー上でrootとしてリモートコード実行(RCE)を行うことができるものとして発表されました。

CVE-2021-45467: CentOS Web Panel サーバにおいて、LFI 保護とファイル書き込みバグに使用される一般的な PHP 関数を迂回することによるpreauth root RCE チェーンを発見しました。

RCEは非常に広く行われているようなので、パッチをお願いします!!!!。

CWP(旧称:CentOS Web Panel)は、専用のウェブホスティングサーバや仮想プライベートサーバを管理するための無料のLinuxコントロールパネルです。

Octagon Networks社のPaulos Yibelo氏が発見した2つのセキュリティ上の脆弱性は、ファイル挿入の脆弱性(CVE-2021-45467)とファイル書き込み(CVE-2021-45466)のバグであり、これらを組み合わせるとリモートコード実行攻撃を行うことができます。

攻撃を成功させるには、攻撃者が認証なしに制限されたAPIセクションに到達できないように、セキュリティ保護を迂回する必要があります。

これは、ファイルインクルージョンの不具合を利用してAPIキーを登録し、ファイルライトの不具合を利用してサーバー上に悪意のあるauthorized_keysファイルを作成することで可能になります。

Octagon Networks社によると、CVE-2021-45467のファイルインクルードの脆弱性にパッチが適用された一方で、”一部の者がパッチを逆手に取り、一部のサーバーを悪用した “様子が見られたとのことです。

CWPを実行している十分な数のLinuxサーバーが最新版にアップグレードされた後に、このRCEチェーンに対する概念実証のエクスプロイトを公開すると述べています。

CWPの開発者によると、このソフトウェアはCentOS、Rocky Linux、Alma Linux、およびOracle LinuxのOSをサポートしています。

CWPのサイトでは、およそ3万台のサーバーがCWPを実行しているとされていますが、BinaryEdgeで約8万台のCWPサーバーがインターネット上に公開されているのを発見されています。

https://app.binaryedge.io/services/query?query=Control-WebPanel&page=1

また、認証前RCEチェーンを発見した研究者によると、ShodanとCensysでも20万台以上が発見されているとのことです。

コメントを残す

メールアドレスが公開されることはありません。