CWP Hataları, Linux Sunucularında Kök Olarak Kod Yürütülmesine İzin Veriyor. Hemen Yama Yapın!
Kontrol Web Paneli (CWP) yazılımını etkileyen iki güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından, güvenlik açığı bulunan Linux sunucularında kök olarak uzaktan kod yürütme (RCE) elde etmek için zincirlenebilir.
Daha önce CentOS Web Paneli olarak bilinen CWP, özel web barındırma sunucularını ve sanal özel sunucuları yönetmek için ücretsiz bir Linux kontrol panelidir.
Octagon Networks'ten Paulos Yibelo tarafından bulunan iki güvenlik açığı, bir dosya ekleme güvenlik açığı (CVE-2021-45467) ve birlikte zincirlendiğinde RCE'ye yol açan bir dosya yazma hatasıdır (CVE-2021-45466).
Kısacası, başarılı bir istismar, saldırganların kimlik doğrulaması olmadan kısıtlı API bölümüne ulaşmasını önlemek için güvenlik korumalarını atlamayı gerektirir.
Bu, dosya ekleme hatasını kullanarak bir API anahtarı kaydederek ve dosya yazma kusurunu kullanarak sunucuda kötü niyetli bir yetkili_anahtar dosyası oluşturarak yapılabilir.
CVE-2021-45467 dosya ekleme güvenlik açığı yamalanırken, Octagon Networks "bazılarının yamayı nasıl tersine çevirdiğini ve bazı sunucuları nasıl sömürdüğünü" gördüklerini söylüyor.
Octagon Networks, CVE-2021-45467 dosya ekleme güvenlik açığı düzeltilirken, "bazılarının yamayı nasıl tersine çevirdiğini ve bazı sunuculardan yararlandığını" gördüklerini söylüyor.
Güvenlik araştırmacıları ayrıca, CWP çalıştıran yeterli sayıda Linux sunucusunun en son sürüme yükseltilmesinden sonra bu kimlik doğrulama öncesi RCE zinciri için bir kavram kanıtı istismarı yayınlayacaklarını söylediler.
CWP geliştiricilerine göre, yazılımları şu işletim sistemlerini destekler: CentOS, Rocky Linux, Alma Linux ve Oracle Linux
CWP sitesi yaklaşık 30.000 sunucunun CWP çalıştırdığını iddia ederken, BleepingComputer BinaryEdge'de yaklaşık 80.000 İnternet'e açık CWP sunucusu buldu.
Ön kimlik doğrulama RCE zincirini keşfeden araştırmacılara göre, Shodan ve Censys'de 200.000'den fazla da bulunabilir.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.