CWP漏洞的责任披露与防范措施

重要要点

在今年早些时候，Immersive Labs的研究人员负责任地披露了CentOS Web Panel（现称Control WebPanel，CWP）中的几个漏洞。这些漏洞使恶意行为者能够接管帐户并以root身份执行命令。尽管这些漏洞已经完全修补并且现在是安全的，但意识到其影响仍然至关重要。

以下是我们报告的漏洞所对应的CVEs： – CVE-2022-25046: 路径遍历漏洞导致远程代码执行（RCE） – CVE-2022-25047:
通过密码重置令牌的帐户劫持 – CVE-2022-25048: 标准用户以root身份执行命令

CWP是一个建立在CentOS伺服器上的共享主机平台。它的共享主机服务意味著即使是一台运行CWP的单一伺服器也可以承载多个网站。每位客户的标准用户帐户让他们能够使用共享伺服器上的资源。

这种设置有其利弊。其正面因素在于经济效益；运营者和客户的月运行成本都较低，因为单一伺服器可以运行数千个网站。但缺点是如果主机发生故障，所有网站也将无法访问。更令人担忧的是，如果主机被攻击，所有在该伺服器上注册的帐户均会受到影响。

根据Shodan的数据，当前互联网上大约有185,000台活跃的CWP伺服器。每台伺服器可能运行10到100个网站，这意味著基础伺服器软件上的任何漏洞都可能影响数百万个网站。

CWP主要服务个人和小型企业帐户，而非大型企业。但大规模的“水坑”攻击依然存在相当大的潜在威胁面。利用这些漏洞的攻击者可能会感染数百万个网站，植入凭证获取恶意软件，或针对支付门户来拦截或修改银行资讯。

在撰写本文时，所有已报告的漏洞已被CWP团队修补。CWP的默认配置能够自动定期应用更新，这意味著所有的CWP实例应该都是完全修补的，除非更新被强制禁用。

要检查您安装的版本，通过SSH连接到目标伺服器并运行以下命令： shell cat /path/to/version.php

接下来的几段将更详细地介绍我们是如何发现这些漏洞的，以及它们是如何运作的。

今年一月，，讨论了一个将两个旧漏洞链接在一起以实现预先验证RCE的CVE。我们仔细检查这些漏洞的工作方式时，意识到它们仅仅影响旧版本的应用程式。事实上，大多数提到的函数已不再存在。

因此，我们深入研究Octagon文章中的缓解方案。发现最新版本的代码进一步修改，增加了htmlspecialchars和strip_tags。这些函数旨在通过过滤和移除常用的HTML标签来防止XSS攻击。然而，这个额外的安全措施不小心导致了一种