Linux Control Web Panel元件爆兩項RCE漏洞
Octagon Networks研究人員近日發現Linux Control Web Panel兩項重大安全漏洞,可對Linux伺服器發動遠端程式碼執行(remote code execution)攻擊。
Control Web Panel(CWP),原名CentOS Web Panel,是很多人愛用的開源Linux伺服器控制台及VPS (Virtual Private Server)軟體,讓管理員很方便管理網頁代管環境。但Octagon Networks研究人員Paulos Yibelo發現CWP的兩項漏洞,包括CVE-2021-45467檔案內含漏洞及CVE-2021-45466任意檔案寫入漏洞。攻擊者可串聯這2款漏洞而在Linux伺服器上執行遠端程式碼。
研究人員解釋,一般情形下Linux 環境下API是受到保護的,使用者必須要有API金鑰才能存取API,以避免於webroot攻擊。但他發現CWP多個PHP網頁App出現漏洞,像是/user/loader.php and /user/index.php及/user/index.php未能妥善驗證呼叫中的檔案存取路徑。這表示,攻擊者只要修改呼叫的include宣告,就可以遠端注入惡意程式碼到Linux伺服器上執行。
有趣的是,雖然App的保護機制可防止惡意呼叫存取主目錄,但這時卻仍允許PHP解譯器接受改寫過的字串而得以繞過內建的驗證控管,此為第一項漏洞。這不但讓攻擊者得以存取受保護的API端點,還能結合第二項漏洞– CVE-2021-45466任意檔案寫入漏洞,而在Linux伺服器上遠端執行程式碼。
CWP維護單位在接獲通報後已經修補這兩項漏洞,並於本周釋出安全更新。
來源: Security Affairs