آسیب پذیری با شدت 9.8 در کنترل وب پنل تحت بهره برداری فعال است

هکرهای مخرب شروع به بهره برداری از یک آسیب پذیری مهم در نسخه های اصلاح نشده کنترل وب پنل، یک رابط پرکاربرد برای میزبانی وب، کرده اند.

اعضای گروه Shadowserver در توییتر با استفاده از مخفف سوء استفاده از کد راه دور نوشتند: “این یک RCE تایید نشده است.” “استثمار بی اهمیت است و یک PoC منتشر شده است.” PoC به کد اثبات مفهومی اشاره دارد که از آسیب پذیری سوء استفاده می کند.

این آسیب پذیری با نام CVE-2022-44877 ردیابی می شود. توسط Numan Türle از Gais Cyber ​​Security کشف شد و در ماه اکتبر در نسخه 0.9.8.1147 وصله شد. مشاوره‌ها تا اوایل این ماه عمومی نشدند، با این حال، به احتمال زیاد برخی از کاربران هنوز از این تهدید آگاه نیستند.

ارقام ارائه شده توسط شرکت امنیتی GreyNoise نشان می دهد که حملات از 7 ژانویه آغاز شد و از آن زمان به آرامی ادامه یافت و آخرین دور تا چهارشنبه ادامه داشت. این شرکت گفت که این اکسپلویت ها از چهار آدرس IP جداگانه واقع در ایالات متحده، هلند و تایلند می آیند.

Shadowserver نشان می‌دهد که تقریباً 38000 آدرس IP در حال اجرا از کنترل وب پنل هستند که بیشترین تمرکز را در اروپا و به دنبال آن آمریکای شمالی و آسیا دارد.

درجه بندی شدت برای CVE-2022-44877 9.8 از 10 ممکن است. در توصیه برای آسیب پذیری آمده است: “فرمان های Bash را می توان اجرا کرد زیرا از نقل قول های دوگانه برای ثبت ورودی های نادرست به سیستم استفاده می شود.” در نتیجه، هکرهای احراز هویت نشده می توانند دستورات مخرب را در طول فرآیند ورود اجرا کنند. ویدئوی زیر جریان این اکسپلویت را نشان می دهد.

به گفته Daily Swig، این آسیب‌پذیری در مؤلفه /login/index.php قرار دارد و از CWP استفاده می‌کند که از ساختار معیوب هنگام ثبت ورودی‌های نادرست استفاده می‌کند. ساختار این است: echo "incorrect entry, IP address, HTTP_REQUEST_URI" >> /blabla/wrong.log. تورل به این نشریه گفت: «از آنجایی که URI درخواست از کاربر می‌آید، و همانطور که می‌بینید در داخل گیومه‌های دوگانه قرار دارد، می‌توان دستوراتی مانند $(blabla) را که یک ویژگی bash است، اجرا کرد.

با توجه به سهولت و شدت بهره برداری و در دسترس بودن کد اکسپلویت کار، سازمان هایی که از کنترل وب پنل استفاده می کنند باید اطمینان حاصل کنند که نسخه 0.9.8.1147 یا بالاتر را اجرا می کنند.