Linux Control Web Panel 元件爆兩項 RCE 漏洞

Octagon Networks 研究人員近日發現 Linux Control Web Panel 兩項重大安全漏洞，可對 Linux 伺服器發動遠端程式碼執行 (remote code execution) 攻擊。

Control Web Panel(CWP)，原名 CentOS Web Panel，是很多人愛用的開源 Linux 伺服器控制台及 VPS (Virtual Private Server) 軟體，讓管理員很方便管理網頁代管環境。但 Octagon Networks 研究人員 Paulos Yibelo 發現 CWP 的兩項漏洞，包括 CVE-2021-45467 檔案內含漏洞及 CVE-2021-45466 任意檔案寫入漏洞。攻擊者可串聯這 2 款漏洞而在 Linux 伺服器上執行遠端程式碼。

研究人員解釋，一般情形下 Linux 環境下 API 是受到保護的，使用者必須要有 API 金鑰才能存取 API，以避免於 webroot 攻擊。但他發現 CWP 多個 PHP 網頁 App 出現漏洞，像是/user/loader.php and /user/index.php 及/user/index.php 未能妥善驗證呼叫中的檔案存取路徑。這表示，攻擊者只要修改呼叫的 include 宣告，就可以遠端注入惡意程式碼到 Linux 伺服器上執行。

有趣的是，雖然 App 的保護機制可防止惡意呼叫存取主目錄，但這時卻仍允許 PHP 解譯器接受改寫過的字串而得以繞過內建的驗證控管，此為第一項漏洞。這不但讓攻擊者得以存取受保護的 API 端點，還能結合第二項漏洞– CVE-2021-45466 任意檔案寫入漏洞，而在 Linux 伺服器上遠端執行程式碼。

CWP 維護單位在接獲通報後已經修補這兩項漏洞，並於本周釋出安全更新。

來源: Security Affairs