MKD-CIRT National Centre for Computer Incident Response
Хакерите активно ја искористуваат критичната ранливост закрпена неодамна во Control Web Panel (CWP), алатка за управување со сервери порано позната како CentOS Web Panel.
Безбедносниот проблем е идентификуван како CVE-2022-44877 и доби критична оценка за сериозност од 9,8 од 10 бидејќи му дозволува на напаѓачот да го изврши кодот од далечина без автентикација.
На 3 јануари, истражувачот Numan Türle од Gais Cyber Security, кој го пријави проблемот околу октомври минатата година, објави експлоатација за proof-of-concept (PoC) и видео кое покажува како функционира.
Три дена подоцна, безбедносните истражувачи забележаа дека хакерите го искористуваат пропустот за да добијат далечински пристап до незакрпени системи и да најдат повеќе ранливи машини.
CWP верзијата 0.9.8.1147 беше објавена на 25 октомври 2022 година, за да се поправи CVE-2022-44877, што влијае на претходните верзии на панелот.
Техничка анализа на PoC експлоат кодот е достапна од CloudSek, кој изврши пребарување за CWP сервери на платформата Shodan и најде повеќе од 400.000 примероци на CWP достапни преку Интернет.
Истражувачите од фондацијата Shadowserver, кои ја набљудуваа експлоатацијата на ранливоста, забележуваат дека нивните скенирања бележат околу 38.000 примероци на CWP секој ден.
Оваа бројка не ги претставува ранливите машини, туку популацијата што ја гледа платформата.
Малициозната активност снимена од Shadowserver и споделена со BleepingComputer откри дека напаѓачите пронаоѓаат ранливи домаќини и го искористуваат CVE-2022-44877 за да создадат терминал за интеракција со машината.
Во некои напади, хакерите го користат експлоатот за да започнат reverse shell.
Кодираните payloads се претвораат во Python команди кои ја повикуваат машината на напаѓачот и создаваат терминал на ранливиот домаќин користејќи го Python pty модулот.
Другите напади бараа само да ги идентификуваат ранливите машини. Не е јасно дали овие скенирања се спроведени од истражувачи или хакери кои бараат да најдат машини за пробивање подоцна.
Се чини дека сите овие обиди за експлоатација се засновани на оригиналниот јавен PoC од Numan Türle, малку изменет за да одговара на потребите на напаѓачот.
Истражувачката компанија GreyNoise, исто така, забележа неколку напади на незакрпени CWP хостови од IP адреси во Соединетите Американски Држави, Тајланд и Холандија.
Употребата на CVE-2022-44877 е лесно и со кодот за експлоатација веќе јавен, сè што треба да направат хакерите е да пронајдат ранливи цели, што е ниска задача.
Администраторите треба да преземат итна акција и да го ажурираат CWP на најновата достапна верзија, моментално 0.9.8.1148 објавена на 1 декември 2022 година.
Извор: BleepingComputer
