Los errores de CWP permiten la ejecución de código como root en servidores Linux, parche ahora

Los atacantes no autenticados pueden encadenar dos vulnerabilidades de seguridad que afectan al software Control Web Panel (CWP) para obtener la ejecución remota de código (RCE) como root en servidores Linux vulnerables.

CWP, anteriormente conocido como CentOS Web Panel, es un panel de control gratuito de Linux para administrar servidores de alojamiento web dedicados y servidores privados virtuales.

Los dos agujeros de seguridad detectados por Octagon Networks paolo yibelo son una vulnerabilidad de inclusión de archivos (CVE-2021-45467) y un error de escritura de archivos (CVE-2021-45466) que conduce a RCE cuando se concatenan.

En resumen, la explotación exitosa requiere eludir las protecciones de seguridad para evitar que los atacantes lleguen a la sección API restringida sin autenticación.

Esto se puede hacer registrando una clave de API usando el error de inclusión de archivo y creando un archivo autorizado_claves malicioso en el servidor usando la falla de escritura de archivo.

Si bien se solucionó la vulnerabilidad de inclusión de archivos CVE-2021-45467, Octagon Networks dice que vio cómo "algunos lograron revertir el parche y explotar algunos servidores".

Octagon Networks dice que si bien se solucionó la vulnerabilidad de inclusión de archivos CVE-2021-45467, vieron cómo "algunos lograron revertir el parche y explotar algunos servidores".

Los investigadores de seguridad también dijeron que lanzarán un exploit de prueba de concepto para esta cadena RCE de autenticación previa después de que suficientes servidores Linux que ejecutan CWP se actualicen a la última versión.

Según los desarrolladores de CWP, su software es compatible con los siguientes sistemas operativos: CentOS, Rocky Linux, Alma Linux y Oracle Linux

Si bien el sitio de CWP afirma que alrededor de 30 000 servidores ejecutan CWP, BleepingComputer encontró casi 80 000 servidores CWP expuestos a Internet en BinaryEdge.

También se pueden encontrar más de 200.000 en Shodan y Censys, según los investigadores que descubrieron la cadena de autenticación previa RCE.