CentOS Web Panel の深刻な脆弱性 CVE-2021-45467 がFIX:RCE の可能性

Critical Bugs in Control Web Panel Expose Linux Servers to RCE Attacks

2022/01/21 TheHackerNews — Control Web Panel に存在する、2つの深刻なセキュリティ上の脆弱性が公開された。これらの脆弱性は、侵害の連鎖の一部として悪用され、影響が生じたサーバー上で認証前のリモートコード実行を許す可能性がある。この問題は、CVE-2021-45467 として追跡されており、Web アプリケーションが Web サーバー上の任意のファイルを、公開または実行するように仕向けられることで発生する、ファイル・インクルージョンの脆弱性に関するものだ。

Control Web Panel (旧称:CentOS Web Panel) は、Web ホスティング環境を導入する際に用いられる、オープンソースの Linux コントロール・パネル・ソフトウェアである。この欠陥を発見/報告した Octagon Networks の Paulos Yibelo は、「具体的には、このアプリケーションで使用される、認証を必要としない PHP ページである /user/login.php と /user/index.php において、スクリプト・ファイルへのパスを適切に検証できない場合に問題が発生する」と述べている。

つまり、この脆弱性を悪用する攻撃者は、ある PHP ファイルの内容を別の PHP ファイルにインクルードするために使用される、include 文を変更するだけで、リモートのリソースから悪意のコードを注入し、コード実行を可能にする。

興味深いことに、このアプリケーションは、親ディレクトリ ( … で示される) への切り替えを、ハッキングの試みと判断してフラグを立てるという、保護機能を備えているが、PHP インタープリタが「.$00.」のような特別に細工された文字列を受け入れるため、バイパスの達成を完全に防止する機能が存在してなかった。

この脆弱性の悪用により、制限された API エンドポイントへのアクセスが許されるだけではなく、任意のファイルを書き込む脆弱性 CVE-2021-45466 と併用することで、以下のように、サーバー上での完全なリモートコード実行が可能となる。

  • 悪意の API キーを追加するために、ヌルバイトのパワード・ファイル・インクルード・ペイロードを送信する
  • API キーを使ってファイルに書き込む (CVE-2021-45466)
  • 先ほど書き込んだファイルをインクルードする (CVE-2021-45467)

    CWPメンテナは、この責任ある開示を受けて、今月初めに出荷した更新プログラムで欠陥に対処している。

最近のオープンソース系の問題としては、1月11日の「Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された」、1月15日の「Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増」などがあります。また、オープンソース全体の話題としては、1月14日の「ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題」と、「ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた」があります。よろしければ、ご参照ください。

%d bloggers like this: