Resumen:


Los investigadores de seguridad de Octagon Networks, han descubierto un par de vulnerabilidades que afectan al software de alojamiento web denominado como Control Web Panel (CWP) y cuya explotación podría permitirle a los atacantes llevar a cabo la ejecución remota de código (RCE) en los servidores vulnerables.

 

El CWP también conocido como CentOs Web Panel, es un panel avanzado de control de Linux, diseñado para gestionar servidores de alojamiento web y servidores virtuales privados.

 

Fue la semana pasada, que mediante un blog publicado por Octagon Networks, se dieron a conocer los detalles de ambas vulnerabilidades. La primera, CVE-2021-45467 se trata de un problema de inclusión de archivos y la segunda rastreada como CVE-2021-45466, es descrita como un fallo de escritura de archivos. El encadenamiento de ambos fallos podría conducir a un RCE con privilegios de root.

 

Un actor de amenazas podría lograr la explotación exitosa, registrando una clave API con el fallo de inclusión de archivos (CVE-2021-45467) y creando un archivo “authorized_keys” malicioso en el servidor, haciendo uso del fallo de escritura de archivos (CVE-2021-45466). 

 

Sistemas vulnerables:

Los desarrolladores de CWP han confirmado que el software es compatible con los sistemas de CentOS, Rocky Linux, Alma Linux y Oracle Linux. Por lo tanto, se les sugiere a quienes ejecuten alguno de estos sistemas operativos, que se mantengan al pendiente de cualquier actualización.

 

Así mismo, es preciso destacar que ambas vulnerabilidades ya fueron parcheadas, sin embargo, los investigadores de Octagon han confirmado haber visto indicios de que los atacantes han conseguido “revertir el parche para explotar servidores” con el fallo de inclusión de archivos. 

 

Se les sugiere a todos los usuarios vulnerables que actualicen sus sistemas lo antes posible con los parches de seguridad disponibles, ya que existen más de 80,000 servidores CWP que pueden verse afectados.

 

Por último, los investigadores de Octagon dijeron que publicarían un exploit de prueba de concepto, una vez que la mayoría de los servidores que ejecuten CWP sean parcheados.

 

Recomendaciones:

Por el momento, se le recomienda a los administradores que ejecuten alguno de los sistemas operativos vulnerables, que descarguen los parches de seguridad con la finalidad de mantener sus sistemas protegidos.

 

Referencias:

https://www.bleepingcomputer.com/news/security/cwp-bugs-allow-code-execution-as-root-on-linux-servers-patch-now/

https://www.securityweek.com/cwp-flaws-expose-servers-remote-attacks-possibly-exploited-wild

 

 

Folio 140