安全企业Octagon Networks近日公开了两个Linux开源面板Control Web Panel(原名CentOS Web Panel,CWP)的安全漏洞,黑客若串联这两个漏洞将可对Linux服务器执行远程程序攻击,不过,CWP的维护者已于本月中旬修补了相关漏洞。
CWP为一采用网页接口的控制面板,多半用来部署及管理网页托管环境,支持CentOS、Rocky Linux、Alma Linux及Oracle Linux等平台,估计全球至少有20万台服务器采用CWP。
发现CVE-2021-45467及CVE-2021-45466这两个CWP漏洞的,为Octagon的研究人员Paulos Yibelo,其中,CVE-2021-45467属于文件包含漏洞,将允许黑客注册原本受到限制的API密钥,CVE-2021-45466则为文件写入漏洞。
Octagon公布了相关漏洞的开采程序,他们先发送一个空字符(Null Byte)的文件包含酬载以添增恶意的API密钥,再借由CVE-2021-45466漏洞以密钥写入文件,最后通过CVE-2021-45467漏洞于第一个步骤中包含刚写入的文件,即可成功执行远程程序攻击。
Octagon也打算在大多数的服务器都进行版本更新之后,发布完整的概念性验证攻击程序。