Támadók aktívan kihasználják a javítatlan CWP hibát

Rosszindulatú hackerek elkezdték kihasználni a CVE-2022-44877 kritikus sebezhetőséget a CentOS Web Panel (CWP), egy népszerű ingyenes, zárt forráskódú web-hosting felület nem javított verzióiban.

A sebezhetőség távoli kódfuttatást tesz lehetővé hitelesítés nélkül, és októberben foltozták be, miután Numan Turle, a Gais Cyber Security kutatója felfedezte és jelentette, és január 3-án közzétette a proof-of-concept exploitot. A GreyNoise és a The Shadowserver Foundation ezt követően aktív kihasználást regisztrált, utóbbi január 6-án jegyezte fel a kezdeti kihasználást.

Bár a Control Web Panelt érintő kritikus sebezhetőséget hivatalosan 2022. október 25-én foltozták be, az aktív kihasználásra vonatkozó bizonyítékok kezdenek felhalmozódni.

A CVE-2022-44877 egy távoli kódfuttatási sebezhetőség, amelyet a /login/index.php fájlban található egyetlen kódsor okoz, és amely lehetővé teszi a nem hitelesített támadók számára, hogy kódot hajtsanak végre a Control Web Panel-t futtató szerveren.

A hibák naplózása érdekében a problémás sor a következő struktúrát alkalmazza: echo: “incorrect entry, IP address, HTTP REQUEST URI” kerül visszaküldésre. A kutatók szerint mivel a kérés URI a felhasználótól származik, és idézőjelek közé van zárva, olyan parancsok futtatására van lehetőség, mint például a $(blabla), ami egy bash funkció.

Mivel a naplózási funkciók a bash-en alapulnak (az echo parancson keresztül), és a HTTP REQUEST URI paraméter a felhasználó által vezérelt, a támadó a Command Substitution nevű beépített bash funkciót használhatja arra, hogy “rosszindulatú”, rendszerparancsokat tartalmazó HTTP-kérést készítsen.

Egyes támadásokban az exploitot egy fordított shell indítására használják. A Python pty modul segítségével a kódolt hasznos terhelések Python parancsokká alakulnak, amelyek a támadó gépét hívják, és terminált indítanak a sebezhető állomáson.

A GreyNoise szerint jelenleg legalább négy különböző IP-cím aktívan célozza a sebezhetőséget. A rendszergazdákat ezért arra kérik, hogy gyorsan cselekedjenek, és frissítsék a CWP-t a legfrissebb elérhető verzióra, jelenleg a 2022. december 1-jén megjelent 0.9.8.1148-as verzióra.