Getty Images
Des pirates malveillants ont commencé à exploiter une vulnérabilité critique dans les versions non corrigées du Control Web Panel, une interface largement utilisée pour l’hébergement Web.
“Il s’agit d’un RCE non authentifié”, ont écrit les membres du groupe Shadowserver sur Twitter, en utilisant l’abréviation d’exploit de code à distance. “L’exploitation est triviale et un PoC publié.” PoC fait référence à un code de preuve de concept qui exploite la vulnérabilité.
La vulnérabilité est suivie comme CVE-2022-44877. Il a été découvert par Numan Türle de Gais Cyber Security et corrigé en octobre dans la version 0.9.8.1147. Cependant, les avis n’ont été rendus publics qu’au début de ce mois-ci, ce qui fait qu’il est probable que certains utilisateurs ne soient toujours pas au courant de la menace.
Les chiffres fournis par la société de sécurité GreyNoise montrent que les attaques ont commencé le 7 janvier et se sont lentement accélérées depuis lors, la dernière ronde se poursuivant jusqu’à mercredi. La société a déclaré que les exploits provenaient de quatre adresses IP distinctes situées aux États-Unis, aux Pays-Bas et en Thaïlande.
Publicité
Shadowserver montre qu’il y a environ 38 000 adresses IP exécutant Control Web Panel, avec la plus forte concentration en Europe, suivie de l’Amérique du Nord et de l’Asie.
L’indice de gravité de CVE-2022-44877 est de 9,8 sur 10 possibles. “Les commandes bash peuvent être exécutées car les guillemets doubles sont utilisés pour consigner des entrées incorrectes dans le système”, indique l’avis de vulnérabilité. Par conséquent, les pirates non authentifiés peuvent exécuter des commandes malveillantes pendant le processus de connexion. La vidéo suivante montre le déroulement de l’exploit.
Centos Web Panel 7 Exécution de code à distance non authentifiée – CVE-2022-44877
La vulnérabilité réside dans le composant /login/index.php et résulte de l’utilisation par CWP d’une structure défectueuse lors de la journalisation d’entrées incorrectes, selon le Daily Swig. La structure est : echo “entrée incorrecte, adresse IP, HTTP_REQUEST_URI” >> /blabla/wrong.log. “Étant donné que l’URI de la requête provient de l’utilisateur et, comme vous pouvez le constater, il se trouve entre guillemets doubles, il est possible d’exécuter des commandes telles que $(blabla), qui est une fonctionnalité bash”, a déclaré Türle à la publication.
Compte tenu de la facilité et de la gravité de l’exploitation et de la disponibilité d’un code d’exploitation fonctionnel, les organisations utilisant Control Web Panel doivent s’assurer qu’elles exécutent la version 0.9.8.1147 ou une version ultérieure.
