Octagon Networksは1月22日、「CVE-2021-45467: CWP CentOS Web Panel – preauth RCE」において、オープンソースで開発されているWebベースのLinuxコントロールパネル「Control Web Panel」(以下、CWP)の2件の重大な脆弱性の詳細を明らかにした。この脆弱性は、攻撃者によって事前認証によるリモートコード実行に悪用される危険性があるという。
-
Control Web Panelの公式サイト
Control Web Panelは、Webページ経由でLinuxサーバを管理することができるWebホスティング管理ソフトウェアである。CentOS Web Panelの名前でも知られている。
Octagon Networksによれば、このCWPには「CVE-2021-45467」のファイルインクルードの脆弱性と、「CVE-2021-45466」のファイル書き込みの脆弱性の2件が存在しており、これらを組み合わせて悪用することで事前認証のリモートコマンド実行攻撃が可能になるという。
具体的には、攻撃者は特別に加工されたリクエストを送信することで悪意のあるAPIキーを追加し、CVE-2021-45466の脆弱性を悪用して保護されたAPIセクションにファイルを書き込む。次にCVE-2021-45467を利用して書き込んだファイルをインクルードすることで、リモートコード実行を実現できるとのこと。
2022年1月16日にリリースされたバージョン0.9.8.1120にアップデートすることで、これらの脆弱性の影響を回避することができる。Octagon Networksでは、影響を受ける十分な数のサーバが最新版にアップデートしたことを確認した上で、完全な概念実証コード(PoC)を公開する予定だという。
