Критические уязвимости CloudPanel поставили под угрозу тысячи организаций по всему миру

Тод Бердсли, исследователь компании Rapid7, обнаружил в ноябре прошлого года, что решение для самостоятельного веб-администрирования CloudPanel имеет несколько проблем с безопасностью, в том числе использование одного и того же закрытого ключа SSL-сертификата во всех установках и непреднамеренную перезапись правил брандмауэра на значения по умолчанию. Компания была своевременно уведомлена об уязвимостях, однако на текущий момент успела устранить только часть из них.

Первая проблема связана с ненадежностью процедуры установки «curl to bash», поскольку код загружается без проверки целостности. Эту проблему CloudPanel оперативно исправила, опубликовав криптографически защищенную контрольную сумму сценария установки.

Вторая проблема заключается в том, что сценарий установки CloudPanel сбрасывает ранее существовавшие на сервере правила Uncomplicated Firewall (UFW) на стандартные значения, что вводит гораздо более мягкий набор правил. Кроме того, учетная запись суперпользователя CloudPanel после обновления остается без защиты, что позволяет потенциальным злоумышленникам установить туда свой собственный пароль и получить полный контроль над системой.

Злоумышленникам потребуется для начала найти свежие установки CloudPanel, чтобы использовать эту уязвимость, но и это стало возможным благодаря третьей проблеме, обнаруженной специалистом из Rapid7. Уязвимость отслеживается под идентификатором CVE-2023-0391 и вызвана использованием в разных установках CloudPanel статического SSL-сертификата, что позволяет злоумышленникам быстро находить уязвимые экземпляры CloudPanel по отпечатку этого самого сертификата.

Используя инструмент интернет-сканирования Shodan, эксперт Rapid7 обнаружил 5843 сервера CloudPanel, использующих сертификат безопасности по умолчанию. Большинство из этих серверов находятся в США и Германии.

Результаты Shodan для уязвимых серверов CloudPanel

«Объединив воедино все выявленные уязвимости, злоумышленник может обнаруживать и использовать в своих целях новые экземпляры CloudPanel прямо по мере их развертывания», — пояснил в своём отчёте директор по исследованиям Rapid7.

CloudPanel занимает видное место на веб-сайтах поставщиков облачных услуг, таких как AWS, Azure, GCP и Digital Ocean, рекламируя свой продукт как простое в использовании решение для администрирования собственных серверов Linux. Однако, поскольку до сих пор нет никаких исправлений для проблем с брандмауэром и SSL-сертификатом, пользователям рекомендуется незамедлительно перенастраивать брандмауэр сразу после установки CloudPanel, а также генерировать и устаналивать собственные сертификаты SSL. Вполне вероятно, что с этой задачей справится не каждая фирма, особенно если не обладает грамотными кадрами в области системного администрирования.

Сама CloudPanel комментирует сложившуюся ситуацию следующим образом:
«Мы хотим отметить, что мы ещё не столкнулись ни с одним случаем, когда была бы использована потенциальная уязвимость создания пользователя-администратора во время установки CloudPanel. Тем не менее, мы стремимся улучшить этот аспект нашего продукта, чтобы свести к минимуму любой риск для наших пользователей.
Что касается проблемы с SSL-сертификатом, мы предоставляем самоподписанный SSL-сертификат в процессе установки. Это обеспечит криптографическую безопасность HTTPS-соединений и затруднит автоматическое сканирование для идентификации уязвимых экземпляров.
Мы понимаем, что отчёт Rapid7 может вызвать обеспокоенность у наших пользователей. Мы ценим ваше терпение и понимание, и работаем над улучшением безопасности CloudPanel».