Критические уязвимости CloudPanel поставили под угрозу тысячи организаций по всему миру

Тод Бердсли, исследователь компании Rapid7 , обнаружил в ноябре прошлого года, что решение для самостоятельного веб-администрирования CloudPanel имеет несколько проблем с безопасностью, в том числе использование одного и того же закрытого ключа SSL-сертификата во всех установках и непреднамеренную перезапись правил брандмауэра на значения по умолчанию. Компания была своевременно уведомлена об уязвимостях, однако на текущий момент успела устранить только часть из них.

Первая проблема связана с ненадежностью процедуры установки «curl to bash», поскольку код загружается без проверки целостности. Эту проблему CloudPanel оперативно исправила, опубликовав криптографически защищенную контрольную сумму сценария установки.

Вторая проблема заключается в том, что сценарий установки CloudPanel сбрасывает ранее существовавшие на сервере правила Uncomplicated Firewall ( UFW ) на стандартные значения, что вводит гораздо более мягкий набор правил. Кроме того, учетная запись суперпользователя CloudPanel после обновления остается без защиты, что позволяет потенциальным злоумышленникам установить туда свой собственный пароль и получить полный контроль над системой.

Злоумышленникам потребуется для начала найти свежие установки CloudPanel, чтобы использовать эту уязвимость, но и это стало возможным благодаря третьей проблеме, обнаруженной специалистом из Rapid7. Уязвимость отслеживается под идентификатором CVE-2023-0391 и вызвана использованием в разных установках CloudPanel статического SSL-сертификата, что позволяет злоумышленникам быстро находить уязвимые экземпляры CloudPanel по отпечатку этого самого сертификата.

Используя инструмент интернет-сканирования Shodan , эксперт Rapid7 обнаружил 5843 сервера CloudPanel, использующих сертификат безопасности по умолчанию. Большинство из этих серверов находятся в США и Германии.

Результаты Shodan для уязвимых серверов CloudPanel

«Объединив воедино все выявленные уязвимости, злоумышленник может обнаруживать и использовать в своих целях новые экземпляры CloudPanel прямо по мере их развертывания», — пояснил в своём отчёте директор по исследованиям Rapid7.

CloudPanel занимает видное место на веб-сайтах поставщиков облачных услуг, таких как AWS, Azure, GCP и Digital Ocean, рекламируя свой продукт как простое в использовании решение для администрирования собственных серверов Linux. Однако, поскольку до сих пор нет никаких исправлений для проблем с брандмауэром и SSL-сертификатом, пользователям рекомендуется незамедлительно перенастраивать брандмауэр сразу после установки CloudPanel, а также генерировать и устаналивать собственные сертификаты SSL. Вполне вероятно, что с этой задачей справится не каждая фирма, особенно если не обладает грамотными кадрами в области системного администрирования.

Сама CloudPanel комментирует сложившуюся ситуацию следующим образом:
«Мы хотим отметить, что мы ещё не столкнулись ни с одним случаем, когда была бы использована потенциальная уязвимость создания пользователя-администратора во время установки CloudPanel. Тем не менее, мы стремимся улучшить этот аспект нашего продукта, чтобы свести к минимуму любой риск для наших пользователей.
Что касается проблемы с SSL-сертификатом, мы предоставляем самоподписанный SSL-сертификат в процессе установки. Это обеспечит криптографическую безопасность HTTPS-соединений и затруднит автоматическое сканирование для идентификации уязвимых экземпляров.
Мы понимаем, что отчёт Rapid7 может вызвать обеспокоенность у наших пользователей. Мы ценим ваше терпение и понимание, и работаем над улучшением безопасности CloudPanel».