Los atacantes no autenticados pueden encadenar dos vulnerabilidades de seguridad que afectan el software Control Web Panel (CWP) para obtener la ejecución remota de código (RCE) como root en servidores Linux vulnerables.
CWP , anteriormente conocido como CentOS Web Panel , es un panel de control gratuito de Linux para administrar servidores de alojamiento web dedicados y servidores privados virtuales.
Las dos fallas de seguridad encontradas por Paulos Yibelo de Octagon Networks son una vulnerabilidad de inclusión de archivos (CVE-2021-45467) y un error de escritura de archivos (CVE-2021-45466) que conducen a RCE cuando se encadenan. En resumen, la explotación exitosa requiere eludir las protecciones de seguridad para evitar que los atacantes lleguen a la sección API restringida sin autenticación. Esto se puede hacer registrando una clave de API utilizando el error de inclusión de archivos y creando un archivo de claves autorizadas malicioso en el servidor utilizando la falla de escritura de archivos.
Si bien se corrigió la vulnerabilidad de inclusión de archivos CVE-2021-45467, Octagon Networks dice que vieron cómo «algunos lograron revertir el parche y explotar algunos servidores». Octagon Networks dice que, si bien se parchó la vulnerabilidad de inclusión de archivos CVE-2021-45467, vieron cómo «algunos lograron revertir el parche y explotar algunos servidores».
Los investigadores de seguridad también dijeron que lanzarían un exploit de prueba de concepto para esta cadena RCE de autenticación previa después de que suficientes servidores Linux que ejecutan CWP se actualicen a la última versión. Según los desarrolladores de CWP , su software es compatible con los siguientes sistemas operativos: CentOS, Rocky Linux, Alma Linux y Oracle Linux
Si bien el sitio de CWP afirma que aproximadamente 30 000 servidores ejecutan CWP, BleepingComputer encontró casi 80 000 servidores CWP expuestos a Internet en BinaryEdge. También se pueden encontrar más de 200.000 en Shodan y Censys, según los investigadores que descubrieron la cadena RCE de autenticación previa.