Les pirates exploitent une vulnérabilité connue dans Control Web Panel (CWP) pour lancer des shells inversés et exécuter du code malveillant à distance.
Le chercheur Numan Türle de Gais Cyber Security a publié une vidéo YouTube montrant comment la vulnérabilité peut être exploitée. Trois jours plus tard, les chercheurs ont observé une augmentation de l’abus de la faille, qui est identifiée comme CVE-2022-44877, et porte un score de gravité de 9,8/10 – critique.
Le correctif pour la vulnérabilité abusée a été publié fin octobre 2022, mais depuis qu’un chercheur en sécurité a publié une preuve de concept (PoC), les pirates ont accéléré le rythme.
Coque inversée
La surface d’attaque potentielle est assez grande. CloudSek, qui a analysé le PoC, indique que l’exécution d’une recherche de serveurs CWP sur Shodan ramène plus de 400 000 instances accessibles sur Internet. Bien que tous ne soient évidemment pas vulnérables, cela montre que la faille a un potentiel destructeur assez important. De plus, les chercheurs de la Shadowserver Foundation affirment que quelque 38 000 instances CWP apparaissent chaque jour.
Points finaux (s’ouvre dans un nouvel onglet) qui sont vraiment vulnérables sont exploités pour créer un terminal d’interaction, selon les chercheurs. En démarrant un shell inversé, les pirates convertiraient les charges utiles codées en commandes Python qui atteindraient les appareils de l’attaquant et créeraient un terminal avec le module Python pty. Cependant, tous les pirates ne sont pas aussi rapides – certains ne font que rechercher des machines vulnérables, peut-être pour se préparer à de futures attaques, spéculent les chercheurs.
La pire chose à propos de l’abus de CVE-2022-44877 dans les attaques est qu’il est devenu super facile, surtout après que le code d’exploitation a été rendu public. Tout ce que les pirates ont à faire maintenant est de trouver des cibles vulnérables, ce qui, selon la publication, est une « tâche subalterne ».
La version 0.9.8.1147 de CWP, qui résout ce problème, a été publiée le 25 octobre 2022. Les administrateurs informatiques sont invités à appliquer ce correctif, ou mieux encore, à mettre à jour CWP vers la version actuelle 0.9.8.1148, publiée début décembre.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)