CloudPanel 是一款颇为知名的 Linux 管理面板。
目前安全公司披露了 CloudPanel 存在的多个漏洞,说是漏洞可能不太准确,这些问题更像是缺陷,虽然是缺陷但潜在危害并不比漏洞小。
问题 1:下载内容未经验证 (已修复)
研究人员发现 CloudPanel 通过 curl to bash 安装过程没有进行完整性检查,因此如果攻击者劫持或替换安装包,都可能发起供应链攻击。
接到通报后 CloudPanel 在线更新了脚本支持了加密安全校验解决问题。
问题 2:附带弱防火墙规则替代默认规则 (未修复)
正常情况下系统自带的防火墙规则属于中等安全级别,用户可以根据自己的需要修改防火墙规则加强安全性。
但 CloudPanel 在安装过程中会将服务器防火墙规则替换为更弱鸡的规则,例如原本管理员配置的防火墙规则是仅允许特定 IP/IP 端访问服务器,安装 CloudPanel 后这些规则会删了,实际上就是弱化了安全性。
问题 3:超级管理员账户竟然是空的 (未修复)
CloudPanel 安装后超级管理员账户是空的,任何人都可以创建管理员账户。这是一个比较严重的问题,因为各种恶意爬虫无时不刻不再检索存在弱点的服务器,一旦被扫描到黑客就可以赶在用户前创建管理员账户从而接管服务器。
目前 CloudPanel 更新了一份支持文档要求用户安装成功后立即创建管理员账户,避免被机速更快的机器人率先创建了管理员。
问题 4:所有 CloudPanel 都是用相同的私钥🫠🫠🫠
研究人员还发现 CloudPanel 使用静态 SSL 证书安装,这导致所有安装的面板私钥都是相同的,攻击者也可以通过 SSL 证书的指纹来找到安装 CloudPanel 的服务器。
由于私钥是相同的,因此攻击者还可以发起 MiMT 中间人攻击,劫持用户与 CloudPanel 之间的流量,嗅探内容包括解密用户输入的账号和密码。
如果你使用 CloudPanel 的话,最好提高警惕,检查一下配置。
