Hindistan Siber Acil Müdahale Ekibi (CERT-IN), popüler ücretsiz web barındırma kontrol paneli olan Control Web Panel’deki (CWP) kritik bir güvenlik açığı hakkında bir uyarı yayınladı.
Eskiden CentOS Web Panel olarak bilinen CWP, kurumsal ortamlarda Linux sistemleri için yaygın olarak kullanılan bir sunucu yönetim aracıdır.
CIVN-2023-0019 kod adlı Control Web Panel’deki uzaktan kod yürütme güvenlik açığı, kritik önem derecesine sahiptir. 0.9.8.1147’den önceki Control Web Panel veya CentOS Web Panel yazılımını etkiler.
“Bu güvenlik açığı /login/index.php bileşenindeki kusur nedeniyle Control Web Panel 7’de mevcuttur. Kimliği doğrulanmamış uzak bir saldırgan, oturum açma parametresindeki kabuk meta karakterleri aracılığıyla rasgele işletim sistemi komutları yürüterek bu güvenlik açığından yararlanabilir.”
“Güvenlik açığı vahşi ortamda aktif olarak kullanılıyor” diye ekledi.
Kontrol Web Paneli ve hatalar
En son uyarı, Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yapılan benzer bir uyarının ardından geldi ve siber suçluların CWP’de yakın zamanda düzeltilen benzer bir güvenlik açığından yararlanmaya çalıştıklarını gösteriyor.
CVE-2022-44877 olarak tanımlanan ve CVSS puanı 9,8 olan güvenlik açığı, yükseltilmiş ayrıcalıklar sağlıyor ve etkilenen sunucularda kimliği doğrulanmamış uzaktan kod yürütülmesine izin veriyor.
Yazılımın 0.9.8.1147’den önceki tüm sürümleri etkilenmiştir ve sorun, yazılımın geliştiricileri tarafından 25 Ekim 2022’de giderilmiştir.
Ulusal Standartlar ve Teknoloji Enstitüsü’ne göre güvenlik açığı “login/index.php” dosyasında bulunuyor ve oturum açma parametresine kabuk meta karakterleri girilerek kullanılabilir.
Ocak 2022’de, barındırma panelinde önceden kimliği doğrulanmış uzaktan kod yürütme için kullanılabilecek iki kritik sorun belirlendi.
Güvenlik açığı ve yama sorunu
Zamanında yapılan uyarılara rağmen, kullanıcılar genellikle sistemlerine yama uygulamakta gecikirler.
Microsoft, Aralık ayında CVE-2022-37958 ile ilgili bir uyarı yayınlamış ve Eylül ayında yamalanan hatanın hala sorunlu olduğunu açıkça belirtmişti.
The Cyber Express’in kayıtlı okuyucuları arasında yaptığı bir anket, birçok kişinin hatadan habersiz olduğunu ortaya çıkardı.
Coğrafyalarda, farklı sektörlerdeki kuruluşlarda çalışan 32 CISO lideri arasında yapılan rastgele bir anket, Aralık ayındaki uyarıdan sonra da yamayı yalnızca %17’sinin başlattığını gösterdi.
Şaşırtıcı bir şekilde %43’ü henüz sistemlerinin tam bir güncellemesini sağlamamıştır.