Обновление безопасности — требуется немедленное обновление модуля SolusVM WHMCS

Мы пишем, чтобы сообщить вам об уязвимости безопасности, затрагивающей модуль SolusVM WHMCS (solusvmpro.php), применимый для SolusVM 1. Доступно обновление безопасности, и требуется незамедлительно принять меры на каждой установке WHMCS, использующей этот модуль.

Затронутый компонент: модуль SolusVM WHMCS (solusvmpro.php), все версии до 4.2.2.
Затронутые развертывания: все установки WHMCS, использующие модуль SolusVM 1.

Необходимые действия

• Немедленно обновите модуль SolusVM WHMCS до версии 4.2.2.
• После завершения обновления проверьте версию модуля в панели администратора WHMCS.

Если вы используете модуль в режиме администратора и не можете установить обновления, переключение в режим реселлера снижает, но не устраняет уязвимость и должно рассматриваться только как временное решение.

Для получения помощи по обновлению немедленно свяжитесь с нами в SolusVM.

Мы настоятельно рекомендуем незамедлительно принять меры для защиты ваших клиентов и инфраструктуры.

github.com/solusio/SolusVM-WHMCS-Module/releases

В чём заключается ошибка
Межпользовательская ошибка IDOR (SVM-4189) в solusvmpro_Custom_ChangeRescueMode. В коде до патча использовался управляемый злоумышленником GET-параметр в качестве ключа массива, поэтому любой авторизованный клиент мог перезаписать vserverid(или hostname/ rootpassword/ bootorder/ и т.д.) и действовать на виртуальной машине другого клиента. Допустимые значения — только rescueenable, или rescuedisableлюбое другое значение является эксплуатацией.

Поскольку изменения находились в общедоступном репозитории в течение 4 дней, прежде чем кому-либо было отправлено электронное письмо, следует предположить, что уязвимость уже используется, и проверить журналы доступа:

zgrep -hiE 'rescueAction|ChangeRescueMode|changerescuemode' <your_access_logs_location>

Все, что rescueActionне является rescueenableили rescuedisableне должно рассматриваться как злонамеренное, пока не будет доказано обратное.