Панель управления Linux для управления выделенными и виртуальными частными серверами Control Web Panel (CWP) содержит уязвимости, позволяющие неаутентифицированным злоумышленникам удаленно выполнять код (RCE) с правами root на уязвимых серверах Linux. Программное обеспечение CWP поддерживает следующие операционные системы: CentOS, Rocky Linux, Alma Linux и Oracle Linux. Ошибка включения (CVE-2021-45467) и записи файлов (CVE-2021-45466), приводящие в совокупности к RCE, были обнаружены Паулосом Йибело из Octagon Networks. Успешная эксплуатация подразумевает обход средств защиты безопасности. Злоумышленникам при этом необходимо добраться до раздела ограниченного API без аутентификации. Этот трюк можно реализовать путем регистрации ключа API с помощью ошибки включения файла и создания вредоносного файла authorized_keys на сервере, используя дефект записи файла. Исследователи намерены выпустить PoC после того, как достаточное количество серверов Linux под управлением CWP будут обновлены до последней версии. Но вот в чем дилемма. Согласно официальным данным разработчика, примерно 30 000 серверов работают под управлением CWP. По другим сведениям, обнаружено почти 80 000 открытых в Интернете серверов CWP на BinaryEdge. В реальности на Shodan и Censys можно расшарить более 200 000 уязвимых для RCE серверов.