CWP 취약점, 리눅스 서버에서 루트 권한으로 코드 실행 허용해

CWP bugs allow code execution as root on Linux servers, patch now

 

CWP(제어 웹 패널) 소프트웨어에 존재하는 보안 취약점 두 가지가 인증되지 않은 공격자가 취약한 리눅스 서버에서 루트 권한으로 원격 코드 실행(RCE) 공격을 실행하는데 악용될 수 있는 것으로 나타났습니다.

 

CentOS 웹 패널로 알려진 CWP는 전용 웹 호스팅 서버 및 가상 사설 서버를 관리하는데 사용할 수 있는 무료 리눅스 제어판입니다.

 

Octagon Networks의 Paulos Yibelo가 발견한 이 두 가지 보안 취약점은 파일 포함 취약점(CVE-2021-45467)과 파일 쓰기(CVE-2021-45466) 버그로, 함께 연결될 때 RCE 공격이 가능합니다.

 

공격자가 이를 성공적으로 악용하기 위해서는 인증 없이 제한된 API 섹션에 도달하는 것을 방지하기 위해 도입된 보안 장치를 우회해야 합니다.

 

이는 파일 포함 취약점을 악용하여 API 키를 등록하고, 파일 쓰기 취약점을 사용하여 서버에 악성 authorized_keys 파일을 생성하는 방식으로 수행 가능합니다.

 

파일 포함 취약점인 CVE-2021-45467이 패치되는 동안, Octagon Networks는 "일부에서 패치를 롤백한 후 서버를 악용"하는 것을 목격했다고 밝혔습니다.

 

또한 보안 연구원들은 CWP를 리눅스 서버가 충분히 최신 버전으로 업그레이드된 것을 확인한 후 이 사전 인증 RCE 취약점에 대한 PoC 익스플로잇을 공개할 것이라 밝혔습니다.

 

CWP 개발자에 따르면, 그들의 소프트웨어는 CentOS, Rocky Linux, Alma Linux, Oracle Linux 운영 체제를 지원합니다.

 

CWP의 사이트에서는 약 30,000대의 서버에서 CWP를 실행하고 있다고 주장하지만, BleepingComputer는 BinaryEdge에서 인터넷에 노출된 CWP 서버 약 80,000대를 발견했습니다.

 

사전 인증 RCE 체인을 발견한 연구원에 따르면, Shodan과 Censys에서도 CWP 서버 200,000대를 넘게 찾아볼 수 있었습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/cwp-bugs-allow-code-execution-as-root-on-linux-servers-patch-now/

https://www.youtube.com/watch?v=ibe66aUtThs

https://twitter.com/PaulosYibelo/status/1484739547392983041