Vá ngay lỗ hổng CWP cho phép thực thi code dưới quyền root trên máy chủ Linux

Nhà nghiên cứu bảo mật vừa phát hiện ra hai lỗ hổng mới ảnh hưởng tới phần mềm Control Web Panel (CWP). Hacker có thể xâu chuỗi hai lỗ hổng này để có quyền thực thi code từ xa (RCE) dưới quyền root trên các máy chủ Linux dễ bị tấn công.

CWP, trước đây gọi là CentOS Web Panel, là một bảng điều khiển Linux miễn phí dùng để quản lý các máy chủ hosting web chuyên dụng và máy chủ riêng ảo. Hai lỗ hổng được phát hiện bởi nhà nghiên cứu Paulos Yibelo của Octagon Networks. Chúng được theo dõi dưới mã CVE-2021-45467 (lỗ hổng bao gồm tệp) và CVE-2021-45466 (lỗ hổng ghi tệp) và có thể xâu chuỗi dẫn tới tấn công RCE.

Nói ngắn gọn, khi khai thác thành công hai lỗ hổng này hacker có thể vượt qua các biện pháp bảo vệ để tiếp cận vào phần API bị hạn chế mà không cần xác thực.

Điều này có thể thực hiện bằng cách đăng ký một khóa API qua lỗ hổng bao gồm tệp và tạo tệp authorized_keys độc hại trên máy chủ bằng lỗ hổng ghi tệp.

Mặc dù lỗ hổng bao gồm tệp CVE-2021-45467 đã có bản vá nhưng Octagon Network cho biết họ đã tìm ra cách để vượt qua bản vá và tiếp tục khai thác một số máy chủ. Các nhà nghiên cứu bảo mật tại Octagon Network tuyên bố rằng khi có đủ số lượng máy chủ Linux chạy CWP được cài dặt bản vá thì họ sẽ công khai phương thức khai thác (POC) mà họ tìm ra.

Theo các nhà phát triển của CWP, phần mềm của họ hỗ trợ các hệ điều hành sau: CentOS, Rocky Linux, Alma Linux và Oracle Linux.

Trong khi trang chủ CWP tuyên bố rằng có khoảng 30.000 máy chủ đang chạy CWP thì trang tin BleepingComputer thống kê được gần 80.000 máy chủ chạy CWP có tiếp xúc với Internet trên BinaryEdge. Hơn 200.000 máy chủ cài CWP khác có thể được tìm thấy trên Shodan và Censys.