imágenes falsas
Los piratas informáticos maliciosos han comenzado a explotar una vulnerabilidad crítica en versiones sin parches del Panel web de control, una interfaz ampliamente utilizada para alojamiento web.
“Este es un RCE no autenticado”, escribieron los miembros del grupo Shadowserver en Twitter, usando la abreviatura de explotación de código remoto. “La explotación es trivial y se publicó un PoC”. PoC se refiere a un código de prueba de concepto que explota la vulnerabilidad.
La vulnerabilidad se rastrea como CVE-2022-44877. Fue descubierto por Numan Türle de Gais Cyber Security y parcheado en octubre en la versión 0.9.8.1147. Avisos Sin embargo, no se hizo público hasta principios de este mes, por lo que es probable que algunos usuarios aún no estén al tanto de la amenaza.
Cifras proporcionadas por la empresa de seguridad GreyNoise mostrar que los ataques comenzaron el 7 de enero y han aumentado lentamente desde entonces, y la ronda más reciente continúa hasta el miércoles. La compañía dijo que los exploits provienen de cuatro direcciones IP separadas ubicadas en los EE. UU., Países Bajos y Tailandia.
servidor de las sombras espectáculos que hay aproximadamente 38.000 direcciones IP que ejecutan Control Web Panel, con la mayor concentración en Europa, seguida de América del Norte y Asia.
La calificación de gravedad para CVE-2022-44877 es 9.8 de un máximo de 10. “Los comandos Bash se pueden ejecutar porque se usan comillas dobles para registrar entradas incorrectas en el sistema”, indicó el aviso de la vulnerabilidad. Como resultado, los piratas informáticos no autenticados pueden ejecutar comandos maliciosos durante el proceso de inicio de sesión. El siguiente video demuestra el flujo del exploit.
Ejecución de código remoto no autenticado de Centos Web Panel 7 – CVE-2022-44877
La vulnerabilidad reside en el componente /login/index.php y se debió a que CWP usó una estructura defectuosa al registrar entradas incorrectas. de acuerdo a el trago diario. La estructura es: echo "incorrect entry, IP address, HTTP_REQUEST_URI" >> /blabla/wrong.log. “Dado que el URI de la solicitud proviene del usuario y, como puede ver, está entre comillas dobles, es posible ejecutar comandos como $ (blabla), que es una función de bash”, dijo Türle a la publicación.
Dada la facilidad y la gravedad de la explotación y la disponibilidad de código de explotación operativo, las organizaciones que utilicen Control Web Panel deben asegurarse de que están ejecutando la versión 0.9.8.1147 o superior.