L'exploitation de la sécurité du panneau Web de contrôle rend 200 000 serveurs Linux vulnérables aux piratages à distance.
Source : Pc-boost.com
Publié le : mercredi 26 janvier 2022 à 08:03
L'exploitation de la sécurité du panneau Web de contrôle rend 200 000 serveurs Linux vulnérables aux piratages à distance. Si vous n'êtes pas un administrateur système Linux, vous n'êtes peut-être pas familier avec Control Web Panel, mais si vous l'êtes, vous connaissez certainement l'application. Control Web Panel, ou CWP, est un panneau de contrôle Linux gratuit pour divers services Web. Il s'appelait autrefois CentOS Web Panel, mais il est aujourd'hui pris en charge par CentOS, Rocky Linux, Alma Linux et Oracle. Le service éthiopien de conseil en sécurité Octagon Networks a découvert une faille dans CWP qui est à peu près aussi grave que possible : l'exécution de code à distance sans authentification. Cela signifie que quiconque peut envoyer des requêtes à votre serveur peut obtenir une exécution complète du code à distance. C'est évidemment très grave, aussi vous pouvez interrompre votre lecture pour aller appliquer un correctif si nécessaire (et ensuite aller nettoyer vos sous-vêtements). La vulnérabilité réside dans un défaut dans la façon dont CWP charge un certain fichier PHP. Il dispose d'un mécanisme de base pour empêcher les utilisateurs de remonter au répertoire parent, mais ce mécanisme n'est pas du tout robuste. En conséquence, un utilisateur peut trivialement élaborer une requête fuzzée qui lui permet de forcer CWP à charger des fichiers en dehors des répertoires autrement accessibles au public. En combinant cette faille "d'inclusion de fichier" avec une autre vulnérabilité "d'écriture de fichier", un attaquant peut modifier n'importe quel fichier sur le système, et étant donné cette capacité, cela signifie qu'il peut pratiquement piller toute la boîte à distance. C'est en fait aussi grave que la vulnérabilité Log4shell découverte dans Log4j à la fin de l'année 2021, bien que cette vulnérabilité ait affecté des centaines d'applications en raison de la nature répandue de cet outil. CWP n'est peut-être pas aussi omniprésent que Log4j, mais il est tout de même assez courant. Selon les recherches d'Octagon, il y avait environ 200 000 serveurs vulnérables au moment de sa découverte, mais BleepingComputer estime ce chiffre à 30 000. Dans tous les cas, il s'agit d'une vulnérabilité majeure. Dans le cadre d'une comédie noire, lorsque Octagon a révélé la faille aux développeurs de CWP, ils ont diffusé un simple correctif d'une ligne qui n'a absolument rien fait pour atténuer la faille. Il y a maintenant un correctif plus approprié. Les CVE spécifiques sont CVE-2021-45467 pour la faille d'inclusion de fichier, et CVE-2021-45466 pour la vulnérabilité d'écriture de fichier. À ce jour, Octagon n'a pas publié de code d'exemple complet pour les exploits, car il existe encore de nombreux serveurs vulnérables, mais vous pouvez consulter le blog de la société pour lire son résumé plus approfondi de l'attaque. HOTHARDWARE