Специалисты Rapid7 в пух и прах разгромили безопасность немецкого продукта для менеджмента виртуальных серверов.
Тод Бердсли, исследователь компании Rapid7 , обнаружил в ноябре прошлого года, что решение для самостоятельного веб-администрирования CloudPanel имеет несколько проблем с безопасностью, в том числе использование одного и того же закрытого ключа SSL-сертификата во всех установках и непреднамеренную перезапись правил брандмауэра на значения по умолчанию. Компания была своевременно уведомлена об уязвимостях, однако на текущий момент успела устранить только часть из них.
Первая проблема связана с ненадежностью процедуры установки «curl to bash», поскольку код загружается без проверки целостности. Эту проблему CloudPanel оперативно исправила, опубликовав криптографически защищенную контрольную сумму сценария установки.
Вторая проблема заключается в том, что сценарий установки CloudPanel сбрасывает ранее существовавшие на сервере правила Uncomplicated Firewall ( UFW ) на стандартные значения, что вводит гораздо более мягкий набор правил. Кроме того, учетная запись суперпользователя CloudPanel после обновления остается без защиты, что позволяет потенциальным злоумышленникам установить туда свой собственный пароль и получить полный контроль над системой.
Злоумышленникам потребуется для начала найти свежие установки CloudPanel, чтобы использовать эту уязвимость, но и это стало возможным благодаря третьей проблеме, обнаруженной специалистом из Rapid7. Уязвимость отслеживается под идентификатором Для просмотра ссылки Войдиили Зарегистрируйся и вызвана использованием в разных установках CloudPanel статического SSL-сертификата, что позволяет злоумышленникам быстро находить уязвимые экземпляры CloudPanel по отпечатку этого самого сертификата.
Используя инструмент интернет-сканирования Shodan , эксперт Rapid7 обнаружил 5843 сервера CloudPanel, использующих сертификат безопасности по умолчанию. Большинство из этих серверов находятся в США и Германии.
Результаты Shodan для уязвимых серверов CloudPanel
«Объединив воедино все выявленные уязвимости, злоумышленник может обнаруживать и использовать в своих целях новые экземпляры CloudPanel прямо по мере их развертывания», — пояснил в Для просмотра ссылки Войдиили Зарегистрируйся директор по исследованиям Rapid7.
CloudPanel занимает видное место на веб-сайтах поставщиков облачных услуг, таких как AWS, Azure, GCP и Digital Ocean, рекламируя свой продукт как простое в использовании решение для администрирования собственных серверов Linux. Однако, поскольку до сих пор нет никаких исправлений для проблем с брандмауэром и SSL-сертификатом, пользователям рекомендуется незамедлительно перенастраивать брандмауэр сразу после установки CloudPanel, а также генерировать и устаналивать собственные сертификаты SSL. Вполне вероятно, что с этой задачей справится не каждая фирма, особенно если не обладает грамотными кадрами в области системного администрирования.
Сама CloudPanel комментирует сложившуюся ситуацию следующим образом:
«Мы хотим отметить, что мы ещё не столкнулись ни с одним случаем, когда была бы использована потенциальная уязвимость создания пользователя-администратора во время установки CloudPanel. Тем не менее, мы стремимся улучшить этот аспект нашего продукта, чтобы свести к минимуму любой риск для наших пользователей.
Что касается проблемы с SSL-сертификатом, мы предоставляем самоподписанный SSL-сертификат в процессе установки. Это обеспечит криптографическую безопасность HTTPS-соединений и затруднит автоматическое сканирование для идентификации уязвимых экземпляров.
Мы понимаем, что отчёт Rapid7 может вызвать обеспокоенность у наших пользователей. Мы ценим ваше терпение и понимание, и работаем над улучшением безопасности CloudPanel».
Тод Бердсли, исследователь компании Rapid7 , обнаружил в ноябре прошлого года, что решение для самостоятельного веб-администрирования CloudPanel имеет несколько проблем с безопасностью, в том числе использование одного и того же закрытого ключа SSL-сертификата во всех установках и непреднамеренную перезапись правил брандмауэра на значения по умолчанию. Компания была своевременно уведомлена об уязвимостях, однако на текущий момент успела устранить только часть из них.
Первая проблема связана с ненадежностью процедуры установки «curl to bash», поскольку код загружается без проверки целостности. Эту проблему CloudPanel оперативно исправила, опубликовав криптографически защищенную контрольную сумму сценария установки.
Вторая проблема заключается в том, что сценарий установки CloudPanel сбрасывает ранее существовавшие на сервере правила Uncomplicated Firewall ( UFW ) на стандартные значения, что вводит гораздо более мягкий набор правил. Кроме того, учетная запись суперпользователя CloudPanel после обновления остается без защиты, что позволяет потенциальным злоумышленникам установить туда свой собственный пароль и получить полный контроль над системой.
Злоумышленникам потребуется для начала найти свежие установки CloudPanel, чтобы использовать эту уязвимость, но и это стало возможным благодаря третьей проблеме, обнаруженной специалистом из Rapid7. Уязвимость отслеживается под идентификатором Для просмотра ссылки Войди
Используя инструмент интернет-сканирования Shodan , эксперт Rapid7 обнаружил 5843 сервера CloudPanel, использующих сертификат безопасности по умолчанию. Большинство из этих серверов находятся в США и Германии.
Результаты Shodan для уязвимых серверов CloudPanel
«Объединив воедино все выявленные уязвимости, злоумышленник может обнаруживать и использовать в своих целях новые экземпляры CloudPanel прямо по мере их развертывания», — пояснил в Для просмотра ссылки Войди
CloudPanel занимает видное место на веб-сайтах поставщиков облачных услуг, таких как AWS, Azure, GCP и Digital Ocean, рекламируя свой продукт как простое в использовании решение для администрирования собственных серверов Linux. Однако, поскольку до сих пор нет никаких исправлений для проблем с брандмауэром и SSL-сертификатом, пользователям рекомендуется незамедлительно перенастраивать брандмауэр сразу после установки CloudPanel, а также генерировать и устаналивать собственные сертификаты SSL. Вполне вероятно, что с этой задачей справится не каждая фирма, особенно если не обладает грамотными кадрами в области системного администрирования.
Сама CloudPanel комментирует сложившуюся ситуацию следующим образом:
«Мы хотим отметить, что мы ещё не столкнулись ни с одним случаем, когда была бы использована потенциальная уязвимость создания пользователя-администратора во время установки CloudPanel. Тем не менее, мы стремимся улучшить этот аспект нашего продукта, чтобы свести к минимуму любой риск для наших пользователей.
Что касается проблемы с SSL-сертификатом, мы предоставляем самоподписанный SSL-сертификат в процессе установки. Это обеспечит криптографическую безопасность HTTPS-соединений и затруднит автоматическое сканирование для идентификации уязвимых экземпляров.
Мы понимаем, что отчёт Rapid7 может вызвать обеспокоенность у наших пользователей. Мы ценим ваше терпение и понимание, и работаем над улучшением безопасности CloudPanel».
- Источник новости
- www.securitylab.ru