圖片來源:
Control Web Panel
資安業者Octagon Networks近日公開了兩個Linux開源面板Control Web Panel(原名CentOS Web Panel,CWP)的安全漏洞,駭客若串連這兩個漏洞將可對Linux伺服器執行遠端程式攻擊,不過,CWP的維護者已於本月中旬修補了相關漏洞。
CWP為一採用網頁介面的控制面板,多半用來部署及管理網頁代管環境,支援CentOS、Rocky Linux、Alma Linux及Oracle Linux等平臺,估計全球至少有20萬臺伺服器採用CWP。
發現CVE-2021-45467及CVE-2021-45466這兩個CWP漏洞的,為Octagon的研究人員Paulos Yibelo,其中,CVE-2021-45467屬於文件包含漏洞,將允許駭客註冊原本受到限制的API金鑰,CVE-2021-45466則為文件寫入漏洞。
Octagon公布了相關漏洞的開採程序,他們先傳送一個空字符(Null Byte)的文件包含酬載以添增惡意的API金鑰,再藉由CVE-2021-45466漏洞以金鑰寫入文件,最後透過CVE-2021-45467漏洞於第一個步驟中包含剛寫入的文件,即可成功執行遠端程式攻擊。
Octagon也打算在大多數的伺服器都進行版本更新之後,釋出完整的概念性驗證攻擊程式。
熱門新聞
2024-12-24
2024-08-14
2024-12-20
2024-12-22
2024-12-23
2024-12-23
Advertisement