CloudPanel: la soluzione di amministrazione web self-hosted che presenta gravi problemi di sicurezza

Todd Beardsley, un ricercatore di Rapid7, ha scoperto lo scorso novembre che la soluzione di amministrazione web self-hosted di CloudPanel presentava diversi problemi di sicurezza, tra cui l’utilizzo della stessa chiave privata del certificato SSL in tutte le installazioni e la sovrascrittura involontaria delle regole del firewall con i valori predefiniti. 

La società è stata informata delle vulnerabilità in modo tempestivo, ma finora è riuscita a risolverne solo una parte delle problematiche segnalate.

Il primo problema è legato all’inaffidabilità della procedura di installazione “curl to bash”, in quanto il codice viene caricato senza controllo di integrità. CloudPanel ha risolto rapidamente questo problema pubblicando un checksum crittograficamente sicuro dello script di installazione.

Avvio delle iscrizioni al corso "Cyber Offensive Fundamentals" Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il secondo problema è che lo script di installazione di CloudPanel reimposta le regole Uncomplicated Firewall (UFW) che esistevano in precedenza sul server ai valori predefiniti, il che introduce un set di regole molto più benigno. Inoltre, l’account superutente di CloudPanel non viene protetto dopo l’aggiornamento, consentendo a potenziali aggressori di impostare la propria password e assumere il pieno controllo del sistema.

Gli aggressori dovrebbero prima trovare nuove installazioni di CloudPanel per sfruttare questa vulnerabilità, ma ciò è stato possibile grazie a un terzo problema scoperto da Rapid7. La vulnerabilità è tracciata con l’identificatore CVE-2023-0391 ed è causata dall’uso di un certificato SSL statico in diverse installazioni CloudPanel, che consente agli aggressori di trovare rapidamente istanze CloudPanel vulnerabili tramite l’impronta digitale di questo stesso certificato.

Utilizzando lo strumento di scansione Internet di Shodan , Rapid7 ha rilevato 5843 server CloudPanel che utilizzavano il certificato di sicurezza predefinito. La maggior parte di questi server si trova negli Stati Uniti e in Germania.

Risultati Shodan per i server CloudPanel vulnerabili

“Riunendo tutte le vulnerabilità identificate, un utente malintenzionato può scoprire e sfruttare nuove istanze di CloudPanel mentre vengono implementate”, ha spiegato il direttore della ricerca di Rapid7 nel suo rapporto.

CloudPanel è presente sui siti Web di fornitori di servizi cloud come AWS, Azure, GCP e Digital Ocean, pubblicizzando il suo prodotto come una soluzione facile da usare per amministrare i propri server Linux. Tuttavia, poiché non ci sono ancora correzioni per i problemi del firewall e del certificato SSL, si consiglia agli utenti di riconfigurare immediatamente il firewall subito dopo l’installazione di CloudPanel e di generare e installare i propri certificati SSL. 

È probabile che non tutte le aziende possano far fronte a questo compito, soprattutto se non dispongono di personale competente nel campo dell’amministrazione del sistema.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.