事件簡述
Octagon Networks 的研究人員 Paulos Yibelo 近日在 Control Web Panel（CWP）中發現了 2 個嚴重的漏洞，兩個漏洞串聯起來能夠在 Linux 伺服器上以 root 身份發動遠端程式攻擊。

Control Web Panel（CWP）
CWP 以前也被成為 CentOS Web Panel，是一個開源的 Linux 網頁介面控制面板，一般用於創建及管理網頁代管環境，支援的操作系統包括 CentOS、Rocky Linux、Alma Linux及 Oracle Linux 。

漏洞說明
這兩個漏洞代號分別為 CVE-2021-45467（文件包含漏洞），可允許駭客註冊原本受到限制的 API 金鑰，及 CVE-2021-45466（文件寫入漏洞）。

攻擊手法
Octagen 也說明了漏洞的開採程序，步驟如下：
1. 先發送一個包含酬載的空字符驅動文件已添加惡意的API金鑰。
2. 藉由CVE-2021-45466漏洞以金鑰寫入文件
3. 透過CVE-2021-45467漏洞於第一個步驟中包含剛寫入的文件，即可完成攻擊。

 

參考資料：
https://threatpost.com/linux-servers-rce-critical-cwp-bugs/177906/
https://www.ithome.com.tw/news/149058