INTRO
Oggi vi racconterò la storia della gravissima rce in login/index.php in CWP (aka Control Web Panel or CentOS Web Panel) 7.
Prima della versione 0.9.8.1147 CWP era vulnerabile ad una rce nel parametro login.Questa vulnerabilità ha un score 9.8 per la sua gravità, letteralmete basta questo
localhost:2031/login/index.php?login=$(whoami)
per eseguire comandi su una macchina.Questa vulnerabilità è di tipo blind, questo vuol dire che non possiamo vedere dei comandi che eseguiamo.
ANALISI TECNICA
La squadra di ricerca minacce di CloudSEK ha condotto un'indagine per capire i dettagli tecnici di CVE-2022-44877 e l'utilizzo su scala globale delle installazioni di CentOS Web Panel 7, e questo è quello che hanno scoperto:
Un attaccante può eseguire comandi in remoto allo stesso livello di privilegi con cui è installato CentOS Web Panel.
In molte situazioni, è stato identificato che il privilegio predefinito per ospitare l'installazione è 'root', che è equivalente al privilegio 'Amministratore' su Window
Un ricercatore di sicurezza ha rilasciato il POC su Github e un video POC su Youtube il 5 gennaio 2023 dopo aver ottenuto l'assicurazione dal team di Centos che un numero sufficiente di server era stato corretto.
Analizzando il codice dell'exploit condiviso, è stato identificato che il problema era nella funzionalità che registrava i login errati nel file
Questa operazione veniva esguita con il comando echo e passando un parametro dalla richiesta http, quindi si poteva inniettare codice nel comando.
Di seguito è riportato un frammento di codice di esempio responsabile della scrittura del contenuto nel file "wrong_entry.log"
Le virgolette doppie nel comando sopra menzionato sono responsabili di questa configurazione non corretta, poiché questa è una funzione di bash che consente di eseguire un comando. Poiché l'HTTP_request_URI è controllato dall'attaccante, un hacker può inserire un comando che viene eseguito sul server. Quando il comando sopra menzionato viene eseguito, si ottiene una rc
Ci sono molteplici server vulnerabili in giro e gli hacker hanno iniziato a sfruttarli per creare botnet.
Facendo una ricerca su shodan, esce che ci sono più di 457.000 dispotivi potenzialmete vulnerabili su internet.
Un attaccante può eseguire comandi in remoto allo stesso livello di privilegi con cui è installato CentOS Web Panel.
In molte situazioni, è stato identificato che il privilegio predefinito per ospitare l'installazione è 'root', che è equivalente al privilegio 'Amministratore' su Window
Un ricercatore di sicurezza ha rilasciato il POC su Github e un video POC su Youtube il 5 gennaio 2023 dopo aver ottenuto l'assicurazione dal team di Centos che un numero sufficiente di server era stato corretto.
Analizzando il codice dell'exploit condiviso, è stato identificato che il problema era nella funzionalità che registrava i login errati nel file
wrong_entry.log
Questa operazione veniva esguita con il comando echo e passando un parametro dalla richiesta http, quindi si poteva inniettare codice nel comando.
Di seguito è riportato un frammento di codice di esempio responsabile della scrittura del contenuto nel file "wrong_entry.log"
Codice:
echo "incorrect_entry, IP address, HTTP_request_URI" >> ./wrong_entry.log
Ci sono molteplici server vulnerabili in giro e gli hacker hanno iniziato a sfruttarli per creare botnet.
Facendo una ricerca su shodan, esce che ci sono più di 457.000 dispotivi potenzialmete vulnerabili su internet.
Se avete un server CentOS che non aggiornate da un po' vi consiglio di aggiornare CWP all'ultima versione.
emu