A solução de administração web auto-hospedada CloudPanel foi encontrada com várias questões de segurança, incluindo o uso da mesma chave privada de certificado SSL em todas as instalações e sobrescrita acidental das regras do firewall para configurações mais fracas.
As vulnerabilidades foram descobertas pelo pesquisador da Rapid7, Tod Beardsley, em novembro de 2022, que relatou ao fornecedor de software MGT-COMMERCE.
No momento da escrita, as duas questões mencionadas acima permaneceram não corrigidas, enquanto o desenvolvedor do software abordou um terceiro problema de segurança referente ao script de instalação.
O primeiro problema diz respeito à confiabilidade do procedimento de instalação "curl to bash", pois ele baixou o código sem uma verificação de integridade, o que o fornecedor prontamente resolveu, publicando um checksum criptograficamente seguro do script de instalação.
O segundo problema é que o script de instalação do CloudPanel redefinirá as regras existentes do Firewall Descomplicado (ufw) do servidor e introduzirá um conjunto de regras muito mais permissivo.
Isso significa que se um administrador configurou o firewall do seu servidor apenas para permitir que endereços IP específicos acessem portas em um servidor, após a instalação do CloudPanel, essas regras terão sido substituídas pelo conjunto de regras mais permissivo abaixo.
Além disso, a conta do administrador superusuário para o CloudPanel após a instalação é deixada em branco, permitindo que atacantes conhecedores e rápidos definam suas próprias senhas e assumam o controle do sistema.
Os atacantes precisariam encontrar novas instalações do CloudPanel para explorar esse problema, o que é possível graças ao terceiro problema descoberto pela Rapid7.
O documento do CloudPanel alerta sobre esse problema com a seguinte mensagem:
"Por motivos de segurança, acesse o CloudPanel o mais rápido possível para criar o usuário administrador.
Existe uma pequena janela de tempo em que bots podem criar o usuário.
Se possível, abra a porta 8443 apenas para o seu IP via firewall", explica o CloudPanel em sua documentação de instalação.
A terceira falha é rastreada como
CVE-2023-0391
e é causada pela instalação do CloudPanel usando um certificado SSL estático, permitindo que os atacantes encontrem instâncias do CloudPanel usando a impressão digital do certificado.
Mais preocupante, como a chave privada em cada certificado SSL enviado com o CloudPanel é a mesma, pode permitir que os atores de ameaças espionem o tráfego HTTPS criptografado para os servidores do CloudPanel.
Usando a ferramenta de escaneamento da Internet Shodan, a Rapid7 encontrou 5.843 servidores do CloudPanel usando o certificado padrão, a maioria baseada nos Estados Unidos e na Alemanha.
"Ao concatenar a permissividade do firewall e as questões do certificado reutilizado juntas, um atacante pode direcionar e explorar novas instâncias do CloudPanel à medida que são implantadas", explicou o diretor de pesquisa da Rapid7, Tod Beardsley, no relatório.
"É importante observar que o CloudPanel é anunciado como uma interface fácil de usar para administração básica do Linux, é direcionado a usuários relativamente inexperientes e grande parte da documentação presume um procedimento de instalação ao vivo na Internet roteável com uma nova instância VPS."
A auto-hospedagem está passando por uma fase de tendência agora, desfrutando de um aumento de popularidade impulsionado pelos valores crescentes de privacidade e controle de dados, personalização e economia de custos.
O CloudPanel é apresentado proeminentemente nos sites de provedores de serviços em nuvem como AWS, Azure, GCP e Digital Ocean, promovendo-o como uma solução de administração fácil de usar para servidores Linux auto-hospedados.
No entanto, como não há correções para os problemas do firewall e do certificado SSL, os usuários são aconselhados a reconfigurar imediatamente as regras do firewall após a instalação do CloudPanel e gerar e instalar seu próprio certificado SSL.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...