S
sucre13
Encontre esta informacion se la dejo me la dejo el usuario
tuhostmx
A principios de este año, cPanel anunció que estaban avanzando con un nuevo esquema de precios que resultó en un pánico masivo de proveedores de hosting que buscaban paneles de control alternativos. Cuando pensamos en alternativas a cPanel, solo nos viene a la mente un puñado de paneles de control:
* Vale la pena señalar que Oakley Capital posee Plesk y cPanel, por lo que DirectAdmin e InterWorx son las únicas alternativas verdaderas si las empresas de alojamiento están preocupadas por nuevos aumentos de precios o la fusión de paneles en una fecha posterior.
RACK911 Labs ha realizado auditorías oficiales de seguridad de DirectAdmin e InterWorx. Sin embargo, también hemos auditado en gran medida a Plesk a través de su programa de recompensas de errores y consideraríamos que los tres paneles mencionados anteriormente tienen una seguridad excelente. (Por lo que vale, también consideramos que cPanel tiene una excelente seguridad principalmente en parte para su programa de recompensas de errores y su gran equipo de desarrollo).
¿Qué pasa con los otros paneles de control alternativos?
Conocíamos la mayoría de los paneles de control enumerados anteriormente, pero no por las razones correctas. Algunos de los paneles de control, como CentOS Web Panel y VestaCP tienen una reputación extremadamente pobre en lo que respecta a la seguridad. En otros paneles, como Virtualmin y CyberPanel, previamente auditamos en una capacidad limitada pero sabíamos que aún quedaban algunos defectos de seguridad, pero esta sería la primera vez que realizamos una auditoría completa de cada panel de control.
Metodología de prueba
Cuando realizamos una auditoría de seguridad, lo primero que hacemos es mapear cada característica en una lista de verificación detallada. La lista de verificación es básicamente el plan de juego para nuestra auditoría y también se utiliza como referencia para mostrar a los desarrolladores lo que se probó para garantizar que no se pase por alto nada. Una vez que se trazan todas las características, determinamos qué tipos de vulnerabilidades de seguridad podrían aplicarse. Algunas de las vulnerabilidades de seguridad que probamos incluyen:
- Inyección SQL
- Ejecución arbitraria de comandos
- Condiciones de enlace simbólico / carrera
- Permisos y procesos inseguros - Recorridos de
directorio
- Adquisiciones de
nombres de usuario - CSRF
- XSS
Es nuestra opinión que la prueba de las vulnerabilidades de seguridad anteriores representaría al menos el 90% de todo lo encontrado. Dado el tamaño y el alcance del proyecto, no pudimos buscarlo de manera realista y cuando enviamos nuestros informes de auditoría, los desarrolladores se dieron cuenta de que era una revisión y que probablemente quedaran algunas vulnerabilidades de seguridad.
Vulnerabilidades de seguridad más populares
La vulnerabilidad de seguridad más común es su Falla básica de validación de entrada (IDOR), lo que significa que un usuario malintencionado pudo modificar contenido que no está destinado a ellos. No nos sorprendió que esta fuera la vulnerabilidad n. ° 1, ya que la mayoría del software que auditamos tiene algunas fallas IDOR.
En un segundo cercano, las condiciones de enlace simbólico / carrera, que a menudo son el resultado de escrituras inseguras de archivos en directorios accesibles para el usuario que conducen a vulnerabilidades de escalada de privilegios. Algunos de los paneles de control tenían protección contra las condiciones de carrera, pero al final, no fueron rival para nuestra experiencia y aún pudimos obtener privilegios de root.
¡Entonces tenemos las temidas vulnerabilidades (arbitrarias) de ejecución de comandos que son fácilmente las más peligrosas! Un usuario malintencionado a menudo puede ejecutar comandos como usuario root, la mayoría de los cuales no están registrados, lo que dificulta determinar el punto de entrada.
Recomendaciones de seguridad
Validación de entrada (IDOR)
Todas las entradas deben validarse para garantizar que el usuario conectado solo pueda manipular los datos que les pertenecen. Si bien eso parece bastante sencillo, está claro que los desarrolladores no están implementando controles ACL adecuados ni están probando este tipo de comportamiento. ¡Los defectos de IDOR son los más fáciles de probar ya que la mayoría se puede hacer dentro del navegador web!
(Arbitrario) Ejecución de comandos
Casi todas las vulnerabilidades de ejecución de comandos son el resultado de caracteres especiales que se aceptan en la entrada del usuario y se pasan directamente a un comando de shell sin ninguna forma de desinfección. Cuando hablamos de caracteres especiales queremos decir $ (); `'<> | y acompañado por un comando utilizado para explorar más o escalar privilegios. Cada vez que los datos del usuario se envían a un comando de shell, los datos se deben escapar junto con una reducción de privilegios cuando sea posible.
Enlace simbólico / Condición de carrera
Deje de realizar operaciones de archivo de nivel raíz en directorios accesibles para el usuario La cantidad de fallas de seguridad que encontramos en los directorios de inicio de los usuarios o en los directorios tmp porque un desarrollador perezoso no podía molestarse en abandonar los privilegios o permanecer fuera de esos directorios es increíble. Cada vez que realiza operaciones de archivos raíz en las que un usuario también puede realizar operaciones de archivos, el riesgo de enlace simbólico y las condiciones de carrera siempre serán extremadamente altas.
ISPConfig (3 vulnerabilidades)
Uno de los paneles de control alternativos más populares, con 40,000 descargas informadas por mes, ISPConfig se mantuvo firme cuando se trataba de vulnerabilidades de seguridad. Los desarrolladores tardaron 12 días en emitir parches de seguridad que creemos que son más que aceptables.
Panel web de CentOS (22 vulnerabilidades)
Observamos este panel hace años y enviamos un puñado de fallas en ese entonces. Poco se ha hecho para mejorar la seguridad y terminamos encontrando otros 22 defectos. El desarrollador ha sido terrible en la comunicación y todavía no tenemos ETA en parches.
Virtualmin (15 vulnerabilidades)
Virtualmin fue una auditoría más grande para nosotros dada la cantidad de características involucradas. No es sorprendente que hay muchas fallas de seguridad, la mayoría de las cuales son de alta prioridad. El desarrollador respondió rápidamente, pero todavía estamos esperando parches.
CyberPanel (39 vulnerabilidades)
Teníamos grandes esperanzas en CyberPanel, pero desafortunadamente resultó ser uno de los peores paneles de control que hemos auditado. Lo único positivo es la rapidez con que los desarrolladores emitieron parches y se comunicaron con nosotros.
VestaCP (3 vulnerabilidades)
Otro panel de control popular, VestaCP, tuvo un desempeño bastante bueno contra nuestra auditoría de seguridad con solo 3 fallas descubiertas. El desarrollador indicó que había parches en proceso, pero no ha habido comunicación desde entonces a pesar de los repetidos intentos.
APNSCP (7 vulnerabilidades)
Básicamente, no sabíamos nada sobre este panel de control llamado APNSCP, pero para nuestra sorpresa, también funcionó bastante bien contra nuestra auditoría de seguridad con solo 5 fallas descubiertas. El desarrollador fue uno de los mejores con los que interactuamos y solo tardó 5 días en resolver todo
Pensamientos finales
En total, encontramos casi 90 vulnerabilidades de seguridad con muchas fallas en el nivel raíz que habrían sido fáciles de explotar. Si bien eso puede parecer mucho, es importante recordar que la mayoría de estos paneles de control, si no todos, nunca han tenido una auditoría de seguridad completa por parte de una empresa acreditada.
RACK911 Labs se ha centrado en los grandes paneles de control durante muchos años, encontrando fácilmente cientos de fallas de seguridad dentro de esos productos. Algunas compañías como cPanel y Plesk tienen programas activos de recompensas de errores con nuevos defectos de seguridad que se encuentran cada mes por investigadores expertos en seguridad.
Los paneles de control alternativos mencionados anteriormente, no tienen los recursos que tienen las grandes empresas de millones de dólares; No pueden darse el lujo de contratarnos ni pueden hacer un programa de recompensas de errores o tener un equipo de seguridad dedicado. Los investigadores de seguridad tienen pocos incentivos para centrarse en auditar sus productos, especialmente los paneles de control menos conocidos que no tienen una base de usuarios considerable.
Para nosotros personalmente, nos quedaríamos con DirectAdmin, Plesk o InterWorx solo porque sabemos de primera mano no solo cuán buena es la seguridad, sino también cuán efectivos son los desarrolladores para solucionar fallas.
Dicho esto, si tuviéramos que elegir entre los 6 paneles de control alternativos anteriores, sería ISPConfig, Virtualmin y APNSCP. Recomendamos encarecidamente a los usuarios que eviten CentOS Web Panel y VestaCP. Los desarrolladores son terribles en la comunicación y es nuestra opinión que su experiencia en programación no tiene una mentalidad de seguridad, lo que probablemente conduciría a más vulnerabilidades de seguridad en el futuro.
En cuanto a CyberPanel, si bien tenían la mayor cantidad de vulnerabilidades de seguridad encontradas, también repararon todo de manera oportuna y su comunicación fue decente. Los desarrolladores parecen interesados en mejorar su producto y, aunque todavía no estamos listos para recomendarlos, tampoco creemos que merezcan ser evitados. Es seguro asumir que volveremos a visitar CyberPanel en el futuro para otra auditoría para ver dónde están las cosas.
Fuente aquituhostmx
A principios de este año, cPanel anunció que estaban avanzando con un nuevo esquema de precios que resultó en un pánico masivo de proveedores de hosting que buscaban paneles de control alternativos. Cuando pensamos en alternativas a cPanel, solo nos viene a la mente un puñado de paneles de control:
* Vale la pena señalar que Oakley Capital posee Plesk y cPanel, por lo que DirectAdmin e InterWorx son las únicas alternativas verdaderas si las empresas de alojamiento están preocupadas por nuevos aumentos de precios o la fusión de paneles en una fecha posterior.
RACK911 Labs ha realizado auditorías oficiales de seguridad de DirectAdmin e InterWorx. Sin embargo, también hemos auditado en gran medida a Plesk a través de su programa de recompensas de errores y consideraríamos que los tres paneles mencionados anteriormente tienen una seguridad excelente. (Por lo que vale, también consideramos que cPanel tiene una excelente seguridad principalmente en parte para su programa de recompensas de errores y su gran equipo de desarrollo).
¿Qué pasa con los otros paneles de control alternativos?
Conocíamos la mayoría de los paneles de control enumerados anteriormente, pero no por las razones correctas. Algunos de los paneles de control, como CentOS Web Panel y VestaCP tienen una reputación extremadamente pobre en lo que respecta a la seguridad. En otros paneles, como Virtualmin y CyberPanel, previamente auditamos en una capacidad limitada pero sabíamos que aún quedaban algunos defectos de seguridad, pero esta sería la primera vez que realizamos una auditoría completa de cada panel de control.
Metodología de prueba
Cuando realizamos una auditoría de seguridad, lo primero que hacemos es mapear cada característica en una lista de verificación detallada. La lista de verificación es básicamente el plan de juego para nuestra auditoría y también se utiliza como referencia para mostrar a los desarrolladores lo que se probó para garantizar que no se pase por alto nada. Una vez que se trazan todas las características, determinamos qué tipos de vulnerabilidades de seguridad podrían aplicarse. Algunas de las vulnerabilidades de seguridad que probamos incluyen:
- Inyección SQL
- Ejecución arbitraria de comandos
- Condiciones de enlace simbólico / carrera
- Permisos y procesos inseguros - Recorridos de
directorio
- Adquisiciones de
nombres de usuario - CSRF
- XSS
Es nuestra opinión que la prueba de las vulnerabilidades de seguridad anteriores representaría al menos el 90% de todo lo encontrado. Dado el tamaño y el alcance del proyecto, no pudimos buscarlo de manera realista y cuando enviamos nuestros informes de auditoría, los desarrolladores se dieron cuenta de que era una revisión y que probablemente quedaran algunas vulnerabilidades de seguridad.
Vulnerabilidades de seguridad más populares
La vulnerabilidad de seguridad más común es su Falla básica de validación de entrada (IDOR), lo que significa que un usuario malintencionado pudo modificar contenido que no está destinado a ellos. No nos sorprendió que esta fuera la vulnerabilidad n. ° 1, ya que la mayoría del software que auditamos tiene algunas fallas IDOR.
En un segundo cercano, las condiciones de enlace simbólico / carrera, que a menudo son el resultado de escrituras inseguras de archivos en directorios accesibles para el usuario que conducen a vulnerabilidades de escalada de privilegios. Algunos de los paneles de control tenían protección contra las condiciones de carrera, pero al final, no fueron rival para nuestra experiencia y aún pudimos obtener privilegios de root.
¡Entonces tenemos las temidas vulnerabilidades (arbitrarias) de ejecución de comandos que son fácilmente las más peligrosas! Un usuario malintencionado a menudo puede ejecutar comandos como usuario root, la mayoría de los cuales no están registrados, lo que dificulta determinar el punto de entrada.
Recomendaciones de seguridad
Validación de entrada (IDOR)
Todas las entradas deben validarse para garantizar que el usuario conectado solo pueda manipular los datos que les pertenecen. Si bien eso parece bastante sencillo, está claro que los desarrolladores no están implementando controles ACL adecuados ni están probando este tipo de comportamiento. ¡Los defectos de IDOR son los más fáciles de probar ya que la mayoría se puede hacer dentro del navegador web!
(Arbitrario) Ejecución de comandos
Casi todas las vulnerabilidades de ejecución de comandos son el resultado de caracteres especiales que se aceptan en la entrada del usuario y se pasan directamente a un comando de shell sin ninguna forma de desinfección. Cuando hablamos de caracteres especiales queremos decir $ (); `'<> | y acompañado por un comando utilizado para explorar más o escalar privilegios. Cada vez que los datos del usuario se envían a un comando de shell, los datos se deben escapar junto con una reducción de privilegios cuando sea posible.
Enlace simbólico / Condición de carrera
Deje de realizar operaciones de archivo de nivel raíz en directorios accesibles para el usuario La cantidad de fallas de seguridad que encontramos en los directorios de inicio de los usuarios o en los directorios tmp porque un desarrollador perezoso no podía molestarse en abandonar los privilegios o permanecer fuera de esos directorios es increíble. Cada vez que realiza operaciones de archivos raíz en las que un usuario también puede realizar operaciones de archivos, el riesgo de enlace simbólico y las condiciones de carrera siempre serán extremadamente altas.
ISPConfig (3 vulnerabilidades)
Uno de los paneles de control alternativos más populares, con 40,000 descargas informadas por mes, ISPConfig se mantuvo firme cuando se trataba de vulnerabilidades de seguridad. Los desarrolladores tardaron 12 días en emitir parches de seguridad que creemos que son más que aceptables.
Panel web de CentOS (22 vulnerabilidades)
Observamos este panel hace años y enviamos un puñado de fallas en ese entonces. Poco se ha hecho para mejorar la seguridad y terminamos encontrando otros 22 defectos. El desarrollador ha sido terrible en la comunicación y todavía no tenemos ETA en parches.
Virtualmin (15 vulnerabilidades)
Virtualmin fue una auditoría más grande para nosotros dada la cantidad de características involucradas. No es sorprendente que hay muchas fallas de seguridad, la mayoría de las cuales son de alta prioridad. El desarrollador respondió rápidamente, pero todavía estamos esperando parches.
CyberPanel (39 vulnerabilidades)
Teníamos grandes esperanzas en CyberPanel, pero desafortunadamente resultó ser uno de los peores paneles de control que hemos auditado. Lo único positivo es la rapidez con que los desarrolladores emitieron parches y se comunicaron con nosotros.
VestaCP (3 vulnerabilidades)
Otro panel de control popular, VestaCP, tuvo un desempeño bastante bueno contra nuestra auditoría de seguridad con solo 3 fallas descubiertas. El desarrollador indicó que había parches en proceso, pero no ha habido comunicación desde entonces a pesar de los repetidos intentos.
APNSCP (7 vulnerabilidades)
Básicamente, no sabíamos nada sobre este panel de control llamado APNSCP, pero para nuestra sorpresa, también funcionó bastante bien contra nuestra auditoría de seguridad con solo 5 fallas descubiertas. El desarrollador fue uno de los mejores con los que interactuamos y solo tardó 5 días en resolver todo
Pensamientos finales
En total, encontramos casi 90 vulnerabilidades de seguridad con muchas fallas en el nivel raíz que habrían sido fáciles de explotar. Si bien eso puede parecer mucho, es importante recordar que la mayoría de estos paneles de control, si no todos, nunca han tenido una auditoría de seguridad completa por parte de una empresa acreditada.
RACK911 Labs se ha centrado en los grandes paneles de control durante muchos años, encontrando fácilmente cientos de fallas de seguridad dentro de esos productos. Algunas compañías como cPanel y Plesk tienen programas activos de recompensas de errores con nuevos defectos de seguridad que se encuentran cada mes por investigadores expertos en seguridad.
Los paneles de control alternativos mencionados anteriormente, no tienen los recursos que tienen las grandes empresas de millones de dólares; No pueden darse el lujo de contratarnos ni pueden hacer un programa de recompensas de errores o tener un equipo de seguridad dedicado. Los investigadores de seguridad tienen pocos incentivos para centrarse en auditar sus productos, especialmente los paneles de control menos conocidos que no tienen una base de usuarios considerable.
Para nosotros personalmente, nos quedaríamos con DirectAdmin, Plesk o InterWorx solo porque sabemos de primera mano no solo cuán buena es la seguridad, sino también cuán efectivos son los desarrolladores para solucionar fallas.
Dicho esto, si tuviéramos que elegir entre los 6 paneles de control alternativos anteriores, sería ISPConfig, Virtualmin y APNSCP. Recomendamos encarecidamente a los usuarios que eviten CentOS Web Panel y VestaCP. Los desarrolladores son terribles en la comunicación y es nuestra opinión que su experiencia en programación no tiene una mentalidad de seguridad, lo que probablemente conduciría a más vulnerabilidades de seguridad en el futuro.
En cuanto a CyberPanel, si bien tenían la mayor cantidad de vulnerabilidades de seguridad encontradas, también repararon todo de manera oportuna y su comunicación fue decente. Los desarrolladores parecen interesados en mejorar su producto y, aunque todavía no estamos listos para recomendarlos, tampoco creemos que merezcan ser evitados. Es seguro asumir que volveremos a visitar CyberPanel en el futuro para otra auditoría para ver dónde están las cosas.
