Οι χάκερ εκμεταλλεύονται ένα σημαντικό ελάττωμα που διορθώθηκε πρόσφατα στο Control Web Panel (CWP), παλαιότερα γνωστό ως CentOS Web Panel, ένα εργαλείο για τη διαχείριση των server.
Δείτε επίσης: H Cisco προειδοποιεί για κρίσιμη ευπάθεια σε EoL routers
Το ελάττωμα ασφαλείας, CVE-2022-44877, έχει λάβει ανησυχητική βαθμολογία σοβαρότητας 9,8 στα 10, λόγω του γεγονότος ότι δίνει σε έναν κακόβουλο παράγοντα πρόσβαση για να εκτελέσει κώδικα εξ αποστάσεως χωρίς έλεγχο ταυτότητας.
Ο κώδικας εκμετάλλευσης είναι άμεσα διαθέσιμος
Στις 3 Ιανουαρίου, ο Numan Türle της Gais Cyber Security δημοσίευσε δημόσια στοιχεία και ένα βίντεο επίδειξης που απεικονίζει το πρόβλημα που αποκάλυψε τον Οκτώβριο. Το proof-of-concept (PoC) exploit του ανέδειξε τη δύναμη αυτής της ευπάθειας να χειραγωγεί ψηφιακά συστήματα.
Μόλις τρεις ημέρες μετά τον εντοπισμό του ελαττώματος ασφαλείας, οι χάκερ είχαν ήδη αρχίσει να το εκμεταλλεύονται για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε unpatched συστήματα και να εντοπίσουν άλλα ευάλωτα μηχανήματα.
Στις 25 Οκτωβρίου 2022, κυκλοφόρησε η έκδοση 0.9.8.1147 του Control Web Panel για να αντιμετωπιστεί η ευπάθεια ασφαλείας που δημιουργεί το CVE-2022-44877, στην οποία ήταν ευάλωτες οι προηγούμενες εκδόσεις του panel.
Δείτε επίσης: Scattered Spider: Προσπαθεί να αποφύγει τον εντοπισμό με την τακτική Bring-Your-Own-Driver
Μια τεχνική ανάλυση του κώδικα PoC exploit είναι διαθέσιμη από το CloudSek, το οποίο πραγματοποίησε μια αναζήτηση για servers CWP στην πλατφόρμα Shodan και βρήκε περισσότερα από 400.000 CWP instances προσβάσιμα μέσω του Διαδικτύου.
Οι καθημερινές σαρώσεις που πραγματοποιούνται από το Shadowserver Foundation αποκάλυψαν ότι περίπου 38.000 CWP instances αξιοποιούνται σε τακτική βάση.
Ο αριθμός αυτός υποδεικνύει το συνολικό αριθμό των μηχανημάτων που παρακολουθεί η πλατφόρμα, ανεξάρτητα από την κατάσταση ευαισθησίας τους.
Σύμφωνα με τα δεδομένα του Shadowserver που συλλέχθηκαν και μοιράστηκαν με το BleepingComputer, οι κυβερνοεγκληματίες ανακαλύπτουν ευάλωτα συστήματα και χρησιμοποιούν το CVE-2022-44877 για να δημιουργήσουν ένα terminal για την επικοινωνία μεταξύ των δύο μηχανημάτων.
Σε ορισμένες κακόβουλες επιθέσεις, οι χάκερ χρησιμοποιούν το exploit για να ξεκινήσουν ένα reverse shell. Τα κωδικοποιημένα payload μετατρέπονται σε εντολές Python που καλούν το μηχάνημα του επιτιθέμενου και δημιουργούν ένα terminal στον ευάλωτο host με τη βοήθεια του Python pty Module.
Ορισμένες από τις επιθέσεις ήταν απλώς στοχευμένες στην αναγνώριση ευάλωτων συστημάτων. Εξακολουθεί να αποτελεί μυστήριο αν αυτές οι σαρώσεις ξεκινούν από ερευνητές ασφαλείας ή από εγκληματίες του κυβερνοχώρου που αναζητούν μηχανήματα τα οποία μπορούν να εκμεταλλευτούν στο εγγύς μέλλον.
Δείτε επίσης: Google Play Store και App Store έχουν γεμίσει με ψεύτικα ChatGPT app
Φαίνεται ότι αυτές οι απόπειρες exploitation προέρχονται από το δημόσια διαθέσιμο PoC του Numan Türle, με μικρές αλλαγές για να ικανοποιήσουν τις ανάγκες του κακόβουλου δράστη.
Η έρευνα της GreyNoise αποκάλυψε πολλαπλές επιθέσεις σε unpatched CWP hosts από διευθύνσεις IP που βρίσκονται στις ΗΠΑ, την Ταϊλάνδη και την Ολλανδία.
Η μόχλευση του CVE-2022-44877 είναι εύκολη και με τον exploit code που είναι ήδη δημόσιος, το μόνο που έχουν να κάνουν οι χάκερ είναι να βρουν ευάλωτους στόχους, μια ανώδυνη δουλειά.
Οι διαχειριστές θα πρέπει να λάβουν άμεσα μέτρα και να ενημερώσουν το CWP στην πιο πρόσφατη διαθέσιμη έκδοση, επί του παρόντος 0.9.8.1148 που κυκλοφορεί την 1η Δεκεμβρίου 2022.
Πηγή πληροφοριών: bleepingcomputer.com
, παλαιότερα γνωστό ως CentOS Web Panel...){kind=link}