CloudPanel 是安全一款頗為知名的 Linux 管理面板,方便用戶管理諸如 Nginx、警告PHP、開源重慶外圍預約平臺(外圍上門)外圍預約(電話微信199-7144-9724)一二線城市外圍預約、空姐、模特、留學生、熟女、白領、老師、優質資源MySQL、面板Apache 等軟件的存多安裝和部署,同時也可以創建多個網站并隔離等。個安關注更新
目前安全公司披露了 CloudPanel 存在的全漏多個漏洞,說是洞缺漏洞可能不太準確,這些問題更像是陷請缺陷,雖然是后續缺陷但潛在危害并不比漏洞小。
網絡安全公司 Rapid7 的藍點研究人員 Tod 在 2022 年 11 月發現 CloudPanel 存在多個問題,當時研究人員已經負責任的安全將這些問題通報給開發商 MGT-COMMERCE。
但直到本文發布時,警告重慶外圍預約平臺(外圍上門)外圍預約(電話微信199-7144-9724)一二線城市外圍預約、空姐、模特、留學生、熟女、白領、老師、優質資源仍然有 3 處缺陷沒有被修復,開源開發商只解決了一個與軟件安裝腳本有關的面板小問題。
CloudPanel 在 AWS、Azure、Google Cloud 等公有云平臺的市場里很受歡迎,在面板類里排名第一,考慮到用戶量如此多,漏洞修復還這么慢確實不應該,使用 CloudPanel 面板的用戶應該多多注意。
問題 1:下載內容未經驗證 (已修復)
研究人員發現 CloudPanel 通過 curl to bash 安裝過程沒有進行完整性檢查,因此如果攻擊者劫持或替換安裝包,都可能發起供應鏈攻擊。
接到通報后 CloudPanel 在線更新了腳本支持了加密安全校驗解決問題。
問題 2:附帶弱防火墻規則替代默認規則 (未修復)
正常情況下系統自帶的防火墻規則屬于中等安全級別,用戶可以根據自己的需要修改防火墻規則加強安全性。
但 CloudPanel 在安裝過程中會將服務器防火墻規則替換為更弱雞的規則,例如原本管理員配置的防火墻規則是僅允許特定 IP/IP 端訪問服務器,安裝 CloudPanel 后這些規則會刪了,實際上就是弱化了安全性。
問題 3:超級管理員賬戶竟然是空的 (未修復)
CloudPanel 安裝后超級管理員賬戶是空的,任何人都可以創建管理員賬戶。這是一個比較嚴重的問題,因為各種惡意爬蟲無時不刻不再檢索存在弱點的服務器,一旦被掃描到黑客就可以趕在用戶前創建管理員賬戶從而接管服務器。
目前 CloudPanel 更新了一份支持文檔要求用戶安裝成功后立即創建管理員賬戶,避免被機速更快的機器人率先創建了管理員。
問題 4:所有 CloudPanel 都是用相同的私鑰??????
研究人員還發現 CloudPanel 使用靜態 SSL 證書安裝,這導致所有安裝的面板私鑰都是相同的,攻擊者也可以通過 SSL 證書的指紋來找到安裝 CloudPanel 的服務器。
由于私鑰是相同的,因此攻擊者還可以發起 MiMT 中間人攻擊,劫持用戶與 CloudPanel 之間的流量,嗅探內容包括解密用戶輸入的賬號和密碼。
目前還不知道 CloudPanel 為啥這么長時間了還沒解決問題,但如果你使用 CloudPanel 的話,最好提高警惕,包括檢查管理員賬戶設置、配置自己的 SSL 證書、檢查 ufw 防火墻規則。
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
