Linux Control Web Panel元件爆兩項RCE漏洞

Octagon Networks研究人員近日發現Linux Control Web Panel兩項重大安全漏洞，可對Linux伺服器發動遠端程式碼執行(remote code execution)攻擊。

Control Web Panel(CWP)，原名CentOS Web Panel，是很多人愛用的開源Linux伺服器控制台及VPS (Virtual Private Server)軟體，讓管理員很方便管理網頁代管環境。但Octagon Networks研究人員Paulos Yibelo發現CWP的兩項漏洞，包括CVE-2021-45467檔案內含漏洞及CVE-2021-45466任意檔案寫入漏洞。攻擊者可串聯這2款漏洞而在Linux伺服器上執行遠端程式碼。

研究人員解釋，一般情形下Linux 環境下API是受到保護的，使用者必須要有API金鑰才能存取API，以避免於webroot攻擊。但他發現CWP多個PHP網頁App出現漏洞，像是/user/loader.php and /user/index.php及/user/index.php未能妥善驗證呼叫中的檔案存取路徑。這表示，攻擊者只要修改呼叫的include宣告，就可以遠端注入惡意程式碼到Linux伺服器上執行。

有趣的是，雖然App的保護機制可防止惡意呼叫存取主目錄，但這時卻仍允許PHP解譯器接受改寫過的字串而得以繞過內建的驗證控管，此為第一項漏洞。這不但讓攻擊者得以存取受保護的API端點，還能結合第二項漏洞– CVE-2021-45466任意檔案寫入漏洞，而在Linux伺服器上遠端執行程式碼。

CWP維護單位在接獲通報後已經修補這兩項漏洞，並於本周釋出安全更新。

來源: Security Affairs