Эксперты предупредили, что две уязвимости, влияющие на Control Web Panel (CWP, ранее CentOS Web Panel), могут быть объединены в цепочку, после чего неавторизованные злоумышленники получат возможность удаленного выполнения кода (RCE) от имени пользователя root на уязвимых серверах Linux.
Хотя официальный сайт CWP утверждает, что около 30 000 серверов работают под управлением CWP, журналисты Bleeping Computer обнаружили в интернете более 80 000 серверов CWP, использовав для поиска BinaryEdge.
Два бага были обнаружены ИБ-специалистом Паулосом Ибело (Paulos Yibelo) из компании Octagon Networks. Ошибки представляют собой проблему включения файлов (CVE-2021-45467) и проблему записи файлов (CVE-2021-45466), которые вместе становятся RCE-уязвимостью.
Эксплуатация багов требует обхода средств защиты, чтобы злоумышленник могли получить доступ к защищенному разделу API без аутентификации. Этого можно добиться, зарегистрировав ключ API (с помощью ошибки включения файла) и создав вредоносный файл author_keys на сервере (с помощью ошибки записи).
Хотя проблема CVE-2021-45467 уже исправлена, Octagon Networks заявляет, что специалисты компании видели, как злоумышленникам удавалось обойти патчи и атаковать уязвимые серверы.
Исследователи обещают, что выпустят PoC-эксплоит, как только достаточное количество серверов Linux с CWP на борту обновятся до последней версии.