CloudPanel 是安全一款頗為知名的 Linux 管理面板,方便用戶(hù)管理諸如 Nginx、警告PHP、開(kāi)源哈爾濱外圍預(yù)約(外圍模特)外圍上門(mén)(電話(huà)微信189-4469-7302)高端外圍預(yù)約快速安排90分鐘到達(dá)MySQL、面板Apache 等軟件的存多安裝和部署,同時(shí)也可以創(chuàng)建多個(gè)網(wǎng)站并隔離等。個(gè)安關(guān)注更新
目前安全公司披露了 CloudPanel 存在的全漏多個(gè)漏洞,說(shuō)是洞缺漏洞可能不太準(zhǔn)確,這些問(wèn)題更像是陷請(qǐng)缺陷,雖然是后續(xù)缺陷但潛在危害并不比漏洞小。
網(wǎng)絡(luò)安全公司 Rapid7 的藍(lán)點(diǎn)研究人員 Tod 在 2022 年 11 月發(fā)現(xiàn) CloudPanel 存在多個(gè)問(wèn)題,當(dāng)時(shí)研究人員已經(jīng)負(fù)責(zé)任的安全將這些問(wèn)題通報(bào)給開(kāi)發(fā)商 MGT-COMMERCE。
但直到本文發(fā)布時(shí),警告哈爾濱外圍預(yù)約(外圍模特)外圍上門(mén)(電話(huà)微信189-4469-7302)高端外圍預(yù)約快速安排90分鐘到達(dá)仍然有 3 處缺陷沒(méi)有被修復(fù),開(kāi)源開(kāi)發(fā)商只解決了一個(gè)與軟件安裝腳本有關(guān)的面板小問(wèn)題。
CloudPanel 在 AWS、Azure、Google Cloud 等公有云平臺(tái)的市場(chǎng)里很受歡迎,在面板類(lèi)里排名第一,考慮到用戶(hù)量如此多,漏洞修復(fù)還這么慢確實(shí)不應(yīng)該,使用 CloudPanel 面板的用戶(hù)應(yīng)該多多注意。
問(wèn)題 1:下載內(nèi)容未經(jīng)驗(yàn)證 (已修復(fù))
研究人員發(fā)現(xiàn) CloudPanel 通過(guò) curl to bash 安裝過(guò)程沒(méi)有進(jìn)行完整性檢查,因此如果攻擊者劫持或替換安裝包,都可能發(fā)起供應(yīng)鏈攻擊。
接到通報(bào)后 CloudPanel 在線(xiàn)更新了腳本支持了加密安全校驗(yàn)解決問(wèn)題。
問(wèn)題 2:附帶弱防火墻規(guī)則替代默認(rèn)規(guī)則 (未修復(fù))
正常情況下系統(tǒng)自帶的防火墻規(guī)則屬于中等安全級(jí)別,用戶(hù)可以根據(jù)自己的需要修改防火墻規(guī)則加強(qiáng)安全性。
但 CloudPanel 在安裝過(guò)程中會(huì)將服務(wù)器防火墻規(guī)則替換為更弱雞的規(guī)則,例如原本管理員配置的防火墻規(guī)則是僅允許特定 IP/IP 端訪(fǎng)問(wèn)服務(wù)器,安裝 CloudPanel 后這些規(guī)則會(huì)刪了,實(shí)際上就是弱化了安全性。
問(wèn)題 3:超級(jí)管理員賬戶(hù)竟然是空的 (未修復(fù))
CloudPanel 安裝后超級(jí)管理員賬戶(hù)是空的,任何人都可以創(chuàng)建管理員賬戶(hù)。這是一個(gè)比較嚴(yán)重的問(wèn)題,因?yàn)楦鞣N惡意爬蟲(chóng)無(wú)時(shí)不刻不再檢索存在弱點(diǎn)的服務(wù)器,一旦被掃描到黑客就可以趕在用戶(hù)前創(chuàng)建管理員賬戶(hù)從而接管服務(wù)器。
目前 CloudPanel 更新了一份支持文檔要求用戶(hù)安裝成功后立即創(chuàng)建管理員賬戶(hù),避免被機(jī)速更快的機(jī)器人率先創(chuàng)建了管理員。
問(wèn)題 4:所有 CloudPanel 都是用相同的私鑰??????
研究人員還發(fā)現(xiàn) CloudPanel 使用靜態(tài) SSL 證書(shū)安裝,這導(dǎo)致所有安裝的面板私鑰都是相同的,攻擊者也可以通過(guò) SSL 證書(shū)的指紋來(lái)找到安裝 CloudPanel 的服務(wù)器。
由于私鑰是相同的,因此攻擊者還可以發(fā)起 MiMT 中間人攻擊,劫持用戶(hù)與 CloudPanel 之間的流量,嗅探內(nèi)容包括解密用戶(hù)輸入的賬號(hào)和密碼。
目前還不知道 CloudPanel 為啥這么長(zhǎng)時(shí)間了還沒(méi)解決問(wèn)題,但如果你使用 CloudPanel 的話(huà),最好提高警惕,包括檢查管理員賬戶(hù)設(shè)置、配置自己的 SSL 證書(shū)、檢查 ufw 防火墻規(guī)則。