Kötü amaçlı aktörler, yüksek ayrıcalıklara ve savunmasız sunucularda kimliği doğrulanmamış uzaktan kod yürütmeye (RCE) olanak tanıyan Control Web Panel’de (CWP) yakın zamanda yamalanmış kritik bir güvenlik açığından aktif olarak yararlanmaya çalışıyor.
şu şekilde izlendi: CVE-2022-44877 (CVSS puanı: 9.8), hata, yazılımın 0.9.8.1147’den önceki tüm sürümlerini etkiliyor ve 25 Ekim 2022’de geliştiricileri tarafından yamalandı.
Önceden CentOS Web Panel olarak bilinen Control Web Panel, kurumsal tabanlı Linux sistemleri için popüler bir sunucu yönetim aracıdır.
NIST’e göre “0.9.8.1147’den önceki CWP’de (aka Control Web Paneli veya CentOS Web Paneli) 7’deki login/index.php, uzaktaki saldırganların oturum açma parametresindeki kabuk meta karakterleri aracılığıyla rasgele işletim sistemi komutları yürütmesine izin veriyor”.
Gais Security araştırmacısı Numan Turle, kusuru keşfedip Control Web Panel’e bildirmekle tanınır.
Shadowserver Foundation ve GreyNoise, bir kavram kanıtının (PoC) kullanıma sunulmasının ardından, açıktan yararlanmanın 6 Ocak 2023’te başladığı söyleniyor.
“Bu, kimliği doğrulanmamış bir RCE,” Shadowserver dedim bir dizi tweet’te, “sömürü önemsizdir.”
GreyNoise, bugüne kadar ikisi ABD’de ve biri Hollanda ve Tayland’da olmak üzere CVE-2022-44877’den yararlanmaya çalışan dört benzersiz IP adresi gözlemlediğini söyledi.
Vahşi doğada aktif istismar ışığında, yazılıma güvenen kullanıcıların potansiyel tehditleri azaltmak için yamaları uygulamaları tavsiye edilir.
Bu, CWP’de ilk kez keşfedilen benzer kusurlar değil. Ocak 2022’de, barındırma panelinde önceden kimliği doğrulanmış uzaktan kod yürütmeyi gerçekleştirmek için silah haline getirilmiş olabilecek iki kritik sorun belirlendi.