Control Web Panel(CWP)ソフトウェアに影響を与える2つのセキュリティ脆弱性が発見され、認証されていない攻撃者が脆弱なLinuxサーバー上でrootとしてリモートコード実行(RCE)を行うことができるものとして発表されました。
CVE-2021-45467: CentOS Web Panel サーバにおいて、LFI 保護とファイル書き込みバグに使用される一般的な PHP 関数を迂回することによるpreauth root RCE チェーンを発見しました。
RCEは非常に広く行われているようなので、パッチをお願いします!!!!。
CWP(旧称:CentOS Web Panel)は、専用のウェブホスティングサーバや仮想プライベートサーバを管理するための無料のLinuxコントロールパネルです。
Octagon Networks社のPaulos Yibelo氏が発見した2つのセキュリティ上の脆弱性は、ファイル挿入の脆弱性(CVE-2021-45467)とファイル書き込み(CVE-2021-45466)のバグであり、これらを組み合わせるとリモートコード実行攻撃を行うことができます。
攻撃を成功させるには、攻撃者が認証なしに制限されたAPIセクションに到達できないように、セキュリティ保護を迂回する必要があります。
これは、ファイルインクルージョンの不具合を利用してAPIキーを登録し、ファイルライトの不具合を利用してサーバー上に悪意のあるauthorized_keysファイルを作成することで可能になります。
Octagon Networks社によると、CVE-2021-45467のファイルインクルードの脆弱性にパッチが適用された一方で、”一部の者がパッチを逆手に取り、一部のサーバーを悪用した “様子が見られたとのことです。
CWPを実行している十分な数のLinuxサーバーが最新版にアップグレードされた後に、このRCEチェーンに対する概念実証のエクスプロイトを公開すると述べています。
CWPの開発者によると、このソフトウェアはCentOS、Rocky Linux、Alma Linux、およびOracle LinuxのOSをサポートしています。
CWPのサイトでは、およそ3万台のサーバーがCWPを実行しているとされていますが、BinaryEdgeで約8万台のCWPサーバーがインターネット上に公開されているのを発見されています。
また、認証前RCEチェーンを発見した研究者によると、ShodanとCensysでも20万台以上が発見されているとのことです。
Comments