Recentemente il team di DigitalOcean ci ha informato su una possibile vulnerabilità nell'immagine CyberPanel disponibile sul Marketplace DigitalOcean. Dopo ulteriori indagini, abbiamo scoperto che c'era un endpoint API utilizzato da un utente malintenzionato per inserire la chiave SSH nell'utente cyberpanel. L'endpoint dell'API richiede l'autenticazione in modo da forzare le credenziali.
Dopo i rapporti iniziali sugli incidenti, abbiamo iniziato a lavorare su una versione più sicura e bloccata di CyberPanel, mentre continuiamo a indagare sul problema. Prendiamo molto sul serio la sicurezza, motivo per cui nelle ultime settimane abbiamo apportato alcuni importanti cambiamenti relativi alla sicurezza. Queste modifiche includono:
Rimosso l'endpoint API che l'utente malintenzionato ha utilizzato per immettere la chiave SSH.
L'accesso all'API deve essere abilitato prima di poter connettersi alla piattaforma o ai moduli di terze parti. Successivamente aggiungeremo l'accesso basato su IP all'API.
L'utente cyberpanel viene rimosso dal gruppo sudo e viene fornito un ambiente più sicuro in cui è necessario eseguire l'escalation di root.
Abbiamo anche rimosso gunicorn come nostro server di backend e ora LSCPD servirà direttamente CyberPanel.
L'accesso è disabilitato per l'utente cyberpanel senza nessuna shell assegnata.
/tmp ora è montato con noexec, nosuid, nodev, nofail per impostazione predefinita.
Se non si è sulla versione 1.8.2, si consiglia vivamente di eseguire l'aggiornamento il prima possibile per evitare problemi in futuro.
Funzionalità minori e correzioni di bug
Oltre agli aggiornamenti di sicurezza, abbiamo aggiunto anche funzionalità minori e correzioni di bug:
Correzione di bug, che ora consente di collegare i repository privati git.
Cerca siti Web nella pagina Elenco siti.
Correzioni di bug importanti per il motore di backup (backup remoto e pianificato).
Riscrivi i modelli sopra la casella delle regole di riscrittura.
Generatore di password casuali.
Abilita / Disabilita l'accesso API.
