圖片來源: 

Control Web Panel

資安業者Octagon Networks近日公開了兩個Linux開源面板Control Web Panel(原名CentOS Web Panel,CWP)的安全漏洞,駭客若串連這兩個漏洞將可對Linux伺服器執行遠端程式攻擊,不過,CWP的維護者已於本月中旬修補了相關漏洞

CWP為一採用網頁介面的控制面板,多半用來部署及管理網頁代管環境,支援CentOS、Rocky Linux、Alma Linux及Oracle Linux等平臺,估計全球至少有20萬臺伺服器採用CWP。

發現CVE-2021-45467及CVE-2021-45466這兩個CWP漏洞的,為Octagon的研究人員Paulos Yibelo,其中,CVE-2021-45467屬於文件包含漏洞,將允許駭客註冊原本受到限制的API金鑰,CVE-2021-45466則為文件寫入漏洞。

Octagon公布了相關漏洞的開採程序,他們先傳送一個空字符(Null Byte)的文件包含酬載以添增惡意的API金鑰,再藉由CVE-2021-45466漏洞以金鑰寫入文件,最後透過CVE-2021-45467漏洞於第一個步驟中包含剛寫入的文件,即可成功執行遠端程式攻擊。

Octagon也打算在大多數的伺服器都進行版本更新之後,釋出完整的概念性驗證攻擊程式。

熱門新聞

Advertisement