Il a été constaté que la solution d’administration Web auto-hébergée CloudPanel présentait plusieurs problèmes de sécurité, notamment l’utilisation de la même clé privée de certificat SSL sur toutes les installations et l’écrasement involontaire des règles de pare-feu pour adopter par défaut des paramètres plus faibles.
Les vulnérabilités ont été découvertes par le chercheur de Rapid7 Tod Beardsley en novembre 2022, qui les a signalées au fournisseur de logiciels MGT-COMMERCE.
Au moment de la rédaction, les deux problèmes mentionnés ci-dessus n’étaient toujours pas résolus, tandis que le développeur du logiciel a résolu un troisième problème de sécurité concernant le script d’installation.
Défauts sur CloudPanel
Le premier problème concerne la fiabilité de la procédure d’installation « curl to bash » lors du téléchargement du code sans contrôle d’intégrité, que le fournisseur a rapidement résolu en publiant une somme de contrôle cryptographiquement sécurisée du script d’installation.
Le deuxième problème est que le script d’installation de CloudPanel réinitialisera les règles de pare-feu non compliquées (ufw) préexistantes d’un serveur et introduira un ensemble de règles beaucoup plus permissif.
Cela signifie que si un administrateur a configuré le pare-feu de son serveur uniquement pour autoriser des adresses IP spécifiques à accéder aux ports d’un serveur, après l’installation de CloudPanel, ces règles auront été remplacées par l’ensemble de règles plus permissif ci-dessous.
De plus, le compte administrateur superutilisateur de CloudPanel après son installation est laissé vide, ce qui permet aux attaquants avertis et rapides de définir leurs propres mots de passe et de prendre le contrôle du système.
Les attaquants auraient besoin de trouver de nouvelles installations CloudPanel pour exploiter ce problème, ce qui est rendu possible par le troisième problème découvert par Rapid7.
Le document CloudPanel avertit de ce problème avec le message suivant :
« Pour des raisons de sécurité, accédez à CloudPanel le plus rapidement possible pour créer l’utilisateur administrateur. Il y a une petite fenêtre de temps où les bots peuvent créer l’utilisateur. Si possible, ouvrez le port 8443 uniquement pour votre IP via un pare-feu », explique CloudPanel dans leur documentation d’installation. .
La troisième faille est identifiée comme CVE-2023-0391 et est causée par les installations de CloudPanel à l’aide d’un certificat SSL statique, permettant aux attaquants de trouver des instances CloudPanel à l’aide de l’empreinte numérique du certificat.
Plus inquiétant, comme la clé privée de chaque certificat SSL fourni avec CloudPanel est la même, cela pourrait permettre aux pirates d’espionner le trafic HTTPS chiffré vers les serveurs CloudPanel.
Impact
À l’aide de l’outil d’analyse Internet Shodan, Rapid7 a trouvé 5 843 serveurs CloudPanel utilisant le certificat par défaut, la plupart basés aux États-Unis et en Allemagne.
« En enchaînant la permissivité du pare-feu et les problèmes de certificats réutilisés, un attaquant peut cibler et exploiter de nouvelles instances CloudPanel au fur et à mesure de leur déploiement », a expliqué le directeur de la recherche de Rapid7, Tod Beardsley, dans le rapport.
« Il est important de noter que CloudPanel est présenté comme une interface facile à utiliser pour l’administration Linux de base, s’adresse à des utilisateurs relativement inexpérimentés, et une grande partie de la documentation suppose une procédure d’installation en direct sur Internet routable avec une nouvelle instance VPS. »
L’auto-hébergement traverse actuellement une phase de tendance, bénéficiant d’une popularité croissante alimentée par les valeurs croissantes de la confidentialité et du contrôle des données, de la personnalisation et des économies de coûts.
CloudPanel figure en bonne place sur les sites Web de fournisseurs de services cloud comme AWS, Azure, GCP et Digital Ocean, le promouvant comme une solution d’administration facile à utiliser pour les serveurs Linux auto-hébergés.
Cependant, comme il n’existe aucun correctif pour les problèmes de pare-feu et de certificat SSL, il est conseillé aux utilisateurs de reconfigurer immédiatement leurs règles de pare-feu après l’installation de CloudPanel, et de générer et d’installer leur propre certificat SSL.
Mise à jour 3/24 – CloudPanel a envoyé à Breachtrace le commentaire suivant :
Avant tout, nous prenons la sécurité de nos utilisateurs très au sérieux et travaillons continuellement à l’amélioration de notre produit. Nous sommes conscients des problèmes soulevés dans le rapport et travaillons activement à les résoudre.
En ce qui concerne le processus d’installation et les règles de pare-feu, nous comprenons l’équilibre entre sécurité et convivialité. Comme pour toute installation de logiciel, il existe un niveau de responsabilité de la part de l’utilisateur pour s’assurer que son environnement est sécurisé. Nous fournissons un didacticiel sur la réalisation d’une installation plus sécurisée et sommes toujours ouverts aux commentaires de nos utilisateurs.
Nous tenons à mentionner que nous n’avons rencontré aucun cas où la vulnérabilité potentielle de la création d’un utilisateur administrateur lors de l’installation a été exploitée. Néanmoins, nous nous engageons à améliorer cet aspect de notre produit afin de minimiser tout risque pour nos utilisateurs.
En ce qui concerne le problème du certificat SSL, nous fournissons un certificat SSL auto-signé lors du processus d’installation. Cela garantira la sécurité cryptographique des connexions HTTPS et rendra plus difficile l’identification des instances CloudPanel par des analyses automatisées.
Nous comprenons que le rapport Rapid7 puisse soulever des inquiétudes parmi nos utilisateurs, mais nous voulons nous assurer qu’ils traitent activement ces problèmes. Nous apprécions votre patience et votre compréhension alors que nous travaillons à l’amélioration de la sécurité de CloudPanel.