Κακόβουλοι χάκερς έχουν αρχίσει να εκμεταλλεύονται μια κρίσιμη ευπάθεια σε μη ενημερωμένες εκδόσεις του Control Web Panel, μιας ευρέως χρησιμοποιούμενης διεπαφής για τη φιλοξενία ιστοσελίδων.

"Πρόκειται για ένα μη πιστοποιημένο RCE", έγραψαν στο Twitter μέλη της ομάδας Shadowserver, χρησιμοποιώντας τη συντομογραφία για την εκμετάλλευση απομακρυσμένου κώδικα. "Η εκμετάλλευση είναι τετριμμένη και ένα PoC δημοσιεύτηκε". Το PoC αναφέρεται σε ένα proof-of-concept κώδικα που εκμεταλλεύεται την ευπάθεια.

Η ευπάθεια παρακολουθείται ως CVE-2022-44877. Ανακαλύφθηκε από τον Numan Türle της Gais Cyber Security και επιδιορθώθηκε τον Οκτώβριο στην έκδοση 0.9.8.1147. Ωστόσο, οι συμβουλές δεν δημοσιοποιήθηκαν μέχρι τις αρχές αυτού του μήνα, γεγονός που καθιστά πιθανό ότι ορισμένοι χρήστες δεν έχουν ακόμη επίγνωση της απειλής.

Τα στοιχεία που παρέχονται από την εταιρεία ασφαλείας GreyNoise δείχνουν ότι οι επιθέσεις ξεκίνησαν στις 7 Ιανουαρίου και από τότε αυξάνονται αργά, με τον πιο πρόσφατο γύρο να συνεχίζεται μέχρι την Τετάρτη. Η εταιρεία δήλωσε ότι τα exploits προέρχονται από τέσσερις διαφορετικές διευθύνσεις IP που βρίσκονται στις ΗΠΑ, την Ολλανδία και την Ταϊλάνδη.

Η Shadowserver δείχνει ότι υπάρχουν περίπου 38.000 διευθύνσεις IP που εκτελούν το Control Web Panel, με τη μεγαλύτερη συγκέντρωση στην Ευρώπη, ακολουθούμενη από τη Βόρεια Αμερική και την Ασία.

Η βαθμολογία σοβαρότητας για το CVE-2022-44877 είναι 9,8 στα 10. "Οι εντολές Bash μπορούν να εκτελεστούν επειδή χρησιμοποιούνται διπλά εισαγωγικά για την καταγραφή εσφαλμένων καταχωρήσεων στο σύστημα", αναφέρεται στη συμβουλευτική για την ευπάθεια. Ως αποτέλεσμα, μη πιστοποιημένοι χάκερ μπορούν να εκτελέσουν κακόβουλες εντολές κατά τη διάρκεια της διαδικασίας σύνδεσης. Το παρακάτω βίντεο παρουσιάζει τη ροή του exploit.

Η ευπάθεια βρίσκεται στο στοιχείο /login/index.php και προέκυψε από τη χρήση ελαττωματικής δομής από το CWP κατά την καταγραφή εσφαλμένων καταχωρήσεων, σύμφωνα με το Daily Swig. Η δομή είναι η εξής: echo "εσφαλμένη καταχώρηση, διεύθυνση IP, HTTP_REQUEST_URI" >> /blabla/wrong.log. "Δεδομένου ότι το URI αίτησης προέρχεται από τον χρήστη και όπως μπορείτε να δείτε είναι μέσα σε διπλά εισαγωγικά, είναι δυνατή η εκτέλεση εντολών όπως το $(blabla), το οποίο είναι ένα χαρακτηριστικό του bash", δήλωσε ο Türle στη δημοσίευση.

Δεδομένης της ευκολίας και της σοβαρότητας της εκμετάλλευσης και της διαθεσιμότητας λειτουργικού κώδικα εκμετάλλευσης, οι οργανισμοί που χρησιμοποιούν το Control Web Panel θα πρέπει να διασφαλίσουν ότι εκτελούν την έκδοση 0.9.8.1147 ή νεότερη.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Ars Technica