CPanel vulnerability!

pizzaman911 · February 20, 2003, 9:07am

เอามาให้อ่านกัน ใครใช้อยู่ก็รีบแก้ไขครับ

Products: Cpanel 5 and below (http://www.cpanel.net)
Date: 19th February 2003
Author: pokleyzz <pokleyzz_at_scan-associates.net>
Contributors: sk <sk_at_scan-associates.net>
shaharil <shaharil_at_scan-associates.net>

Special thanks: Skywizard <skywizard_at_mybsd.org.my>

Description

Cpanel is web hosting control panel which allow client manage their web account through
web interface. Most of the application are written in perl and compiled to binary.

Details

There is multiple vurnerabilities in this package as describe below.

Remote command Execution in guestbook.cgi (/usr/local/cpanel/cgi-sys/guestbook.cgi)

There is classic perl open function vulnerability in template variable which allow any
user to read any file or run command as valid system user which assign to specific url
in apache configuration.

proof of concept:
http://[your site.com]/cgi-sys/guestbook.cgi?user=cpanel&template=|[command]|

Local privileges escalation (root)

Cpanel come with openwebmail packages as one of web base email reader which suid root.
In the system with suid perl install perfectly (with suid mode turn on) local user may
include their own perl script when running openwebmail script (oom) through suidperl.

Openwebmail will append perl include path (@INC) through SCRIPT_FILENAME environment variable,
then include some file when execute.

/usr/local/cpanel/base/openwebmail/oom line 14

if ( $ENV{‘SCRIPT_FILENAME’} =~ m!^(.?)/[\w\d-]+.pl! || $0 =~ m!^(.?)/[\w\d-]+.pl! ) { $SCRIPT_DIR=$1; }
if (!$SCRIPT_DIR) { print "Content-type: text/html

$SCRIPT_DIR not set in CGI script!
"; exit 0; }
push (@INC, $SCRIPT_DIR, “.”);
.
.
.
require “openwebmail-shared.pl”;

proof of concept:
i) Create file openwebmail-shared.pl contain perl script you want to execute.
ii) Set SCRIPT_FILENAME point to full path of openwebmail-shared.pl file you just create.
iii) exec oom script (ex: suidperl -T /usr/local/cpanel/base/openwebmail/oom )

Vendor status

14th February 2003 - Vendor informed but we received no reply
16th February 2003 - While checking Changelog of the Cpanel, there is a security bug fix in guestbook.cgi for
Cpanel 6. We believe this is the fix for above bug.

Quick Solution

i) Remove /usr/local/cpanel/cgi-sys/guestbook.cgi.
ii) Turn off suid mode in oom script (chmod 755 /usr/local/cpanel/base/openwebmail/oom).

poomjit · February 20, 2003, 11:42pm

:blink:

Batt · February 24, 2003, 6:33pm

ขอบคุณครับที่แจ้งข่าว

Tony · May 29, 2003, 10:38pm

นอกจากนี้ ยังมี formmail.cgi ด้วยครับ ที่ใครจะใช้ก็ได้
ไม่ได้ activate โดยเจ้าของ account เพราะมัน activate เป็น default :angryfire:

ใครยังไม่ปิด ก็รีบปิดเสีย มันโจมตีมา ตั้งกะสองเดือนที่แล้วแหนะ

Thaihosting · May 30, 2003, 12:39am

ในความเป็นจริงคือ ไม่มี Control Panel ไหนที่สมบูรณ์แบบ ดังนั้น system administrator จึงไม่ควรวางใจการทำงานของ control panel ให้ดูแลความปลอดภัยของ server เพียงลำพัง

แต่อย่างน้อย Cpanel ปฏิบัติการได้รวดเร็วในการซ่อมแซม Error และ Bugs รวมถึงการแจ้งให้ users เลิกใช้ formmail.cgi ที่เป็น version เก่า หากท่่านที่มี server main control panel อยู่ จะได้รับข่าวสารดังกล่าว และสิ่งสำคัญอีกอย่างหนึ่งคือ Cpanel รับฟังความเห็นของลูกค้า ทั้งเรื่อง feature request หรือ support ticket สังเกตุได้จาก Cpanel Forum ซึ่งบอกรายละเอียด ทำ disable ที่ formmail.cgi ได้อย่างไร เพื่อไม่ให้ใครสามารถใช้ formmail.cgi ซึ่งเป็น version เก่าได้ ทางบริษัทเราเองจึงจัดหา secure php version สำหรับลูกค้าที่ต้องการใช้งานเช่นกัน