Programiści z LiteSpeed Technologies zawsze poważnie podchodzili do problemów bezpieczeństwa swoich produktów. Dlatego też, gdy tylko zostały wykryte luki bezpieczeństwa w OpenLiteSpeed i LiteSpeed Enterprise, natychmiast zabrano się do pracy, by je załatać. Luki zostały wykryte przez zespół Unit 42 z Palo Alto Networks i zgłoszone zespołowi z LiteSpeed Technologies.
Chronologia wydarzeń
- 4 Października 2022 Unit 42 Team wykrywa luki bezpieczeństwa i powiadamia programistów OpenLiteSpeed i LiteSpeed Enterprise o zagrożeniach
- 8 Października 2022 programiści LiteSpeed łatają luki, sprawdzając jednocześnie, czy poprawki nie mają negatywnego wpływu na działanie innych funkcji serwera.
- 12 Października 2022 luki zostały załatane w wersji LiteSpeed Enterprise 6.0.12 build 10
- 18 Października 2022 luki zostały załatane w wersji OpenLiteSpeed v1.7.16 build 1
- 20 Października 2022 Zaktualizowany obrazy Docker dla OpenLiteSpeed i LiteSpeed Enterprise
Szczegóły
Luki bezpieczeństwa uzyskały oznaczenia:
- CVE-2022-0072
- CVE-2022-0073
- CVE-2022-0074
CVE-2022-0072
Luka umożliwiająca atak Directory Traversal – średnie zagrożenie. Luka ta mogła pozwolić osobie atakującej na obejście zabezpieczeń i uzyskanie dostępu do chronionych plików systemowych. Aby atakujący mógł skorzystać z tej luki, musi on znać login i hasło do konsoli WebAdmin. Ponadto, aby atak mógł zakończyć się sukcesem, atakujący musi mieć prawo zapisu do katalogu /usr/local/lsws/admin/html Prawo zapisu do tego katalogu powinien mieć wyłącznie użytkownik root Jeśli jest inaczej, to koniecznie napraw uprawnienia i prawa właściciela tego katalogu.
CVE-2022-0073
Atak Remote Code Execution – duże zagrożenie. Aby atak był możliwy, atakujący musi być zalogowany do konsoli WebAdmin. Może on wówczas wstrzyknąć kod umożliwiający zdalne wykonanie złośliwego kodu.
CVE-2022-0074
Eskalacja uprawnień – duże zagrożenie. Luka ta występowała jedynie w obrazie Dockera serwera OpenLiteSpeed. Problem dotyczył błędnej konfiguracji zmiennej środowiskowej PATH, gdy użytkownikiem jest nobody. Luka ta wykorzystuje „CWE untrusted search path”. Aby można było skorzystać z tej luki, również wymagane są dane logowania do WebAdmin, ale w tym przypadku problem dotyczy jedynie OpenLiteSpeed i nie występuje w wersji LiteSpeed Enterprise. Aby atak mógł się udać, musi być spełnione kilka warunków. Przede wszystkim, właścicielem katalogu /usr/local/bin musi być użytkownik nobody. W przypadku poprawnej konfiguracji serwera, gdy właścicielem katalogu jest root, atak nie powiedzie się. Ta luka to tak naprawdę wina Dockera, a nie LiteSpeed.
Naprawa luki bezpieczeństwa
W przypadku wersji Docker, jeśli masz możliwość edycji katalogu /usr/local/bin, możesz zaktualizować obraz OpenLiteSpeed do najnowszej wersji. Jeśli instalacje były wykonywane ręcznie, zalecana jest ręczna aktualizacja serwera przy pomocy skryptu: $LSWS_PATH/admin/misc/lsup.sh. Instalacje wykonane przy pomocy dowolnego managera pakietów (apt, yum itd) będą załatane automatycznie przy okazji standardowego upgrade pakietów.
Podsumowanie
Chroń dostęp do panelu WebAdmin
Żaden z tych ataków nie powiedzie się, jeśli atakujący nie uzyska dostępu do konsoli WebAdmin. Dlatego tak ważne jest, aby nie udostępniać osobom postronnym naszego loginu i hasła do panelu WebAdmin. Ważne jest również stosowanie trudnego do złamania metodą brute force hasła. Jeśli nie musimy logować się do panelu WebAdmin z internetu, warto zablokować port 7080 w Firewall. Dbaj także o aktualizowanie swojego serwera do najnowszej dostępnej wersji.
