Ngày 12 tháng 1 năm 2023Ravie LakshmananBảo mật máy chủ / Linux
Các tác nhân độc hại đang cố gắng khai thác một lỗ hổng nghiêm trọng đã được vá gần đây trong Control Web Panel (CWP) cho phép nâng cao các đặc quyền và thực thi mã từ xa không được xác thực (RCE) trên các máy chủ dễ bị tấn công.
Được theo dõi dưới dạng CVE-2022-44877 (Điểm CVSS: 9,8), lỗi này ảnh hưởng đến tất cả các phiên bản phần mềm trước 0.9.8.1147 và đã được những người bảo trì vá vào ngày 25 tháng 10 năm 2022.
Control Web Panel, trước đây gọi là CentOS Web Panel, là một công cụ quản trị máy chủ phổ biến cho các hệ thống Linux dựa trên doanh nghiệp.
“login/index.php trong CWP (còn gọi là Control Web Panel hoặc CentOS Web Panel) 7 trước 0.9.8.1147 cho phép kẻ tấn công từ xa thực thi các lệnh OS tùy ý thông qua các siêu ký tự shell trong tham số đăng nhập”, theo NIST.
Nhà nghiên cứu Numan Turle của Gais Security đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng cho Control Web Panel.
Việc khai thác lỗ hổng được cho là đã bắt đầu vào ngày 6 tháng 1 năm 2023, sau khi có bằng chứng về khái niệm (PoC), Shadowserver Foundation và GreyNoise tiết lộ.
“Đây là một RCE chưa được xác thực,” Shadowserver cho biết trong một loạt các tweet, đồng thời cho biết thêm, “việc khai thác là chuyện nhỏ.”
GreyNoise cho biết họ đã quan sát thấy bốn địa chỉ IP duy nhất đang cố gắng khai thác CVE-2022-44877 cho đến nay, hai trong số đó được đặt tại Hoa Kỳ và một địa chỉ từ Hà Lan và Thái Lan.
Do khai thác tích cực trong tự nhiên, người dùng phụ thuộc vào phần mềm nên áp dụng các bản vá để giảm thiểu các mối đe dọa tiềm ẩn.
Đây không phải là lần đầu tiên các lỗ hổng tương tự được phát hiện trong CWP. Vào tháng 1 năm 2022, hai sự cố nghiêm trọng đã được xác định trong bảng lưu trữ có thể đã được vũ khí hóa để thực thi mã từ xa được xác thực trước.
