Getty Resimleri
Kötü niyetli bilgisayar korsanları, web barındırma için yaygın olarak kullanılan bir arabirim olan Control Web Panel’in yama uygulanmamış sürümlerinde kritik bir güvenlik açığından yararlanmaya başladı.
Shadowserver grubunun üyeleri, uzaktan kod istismarının kısaltmasını kullanarak Twitter’da “Bu, kimliği doğrulanmamış bir RCE’dir” diye yazdı. “Sömürü önemsizdir ve bir PoC yayınlandı.” PoC, güvenlik açığından yararlanan bir kavram kanıtı kodunu ifade eder.
Güvenlik açığı CVE-2022-44877 olarak izleniyor. Gais Cyber Security’den Numan Türle tarafından keşfedildi ve Ekim ayında 0.9.8.1147 sürümünde yamalandı. Tavsiyeler bu ayın başlarına kadar halka açıklanmadı, ancak bu, bazı kullanıcıların hala tehdidin farkında olmamalarına neden oluyor.
Güvenlik firması GreyNoise tarafından sağlanan rakamlar, saldırıların 7 Ocak’ta başladığını ve o zamandan beri yavaş yavaş arttığını ve en son tur Çarşamba gününe kadar devam ettiğini gösteriyor. Şirket, istismarların ABD, Hollanda ve Tayland’da bulunan dört ayrı IP adresinden geldiğini söyledi.
Shadowserver, Control Web Panel’i çalıştıran kabaca 38.000 IP adresi olduğunu ve en yüksek konsantrasyonun Avrupa’da olduğunu, ardından Kuzey Amerika ve Asya’nın geldiğini gösteriyor.
CVE-2022-44877’nin önem derecesi olası 10 üzerinden 9,8’dir. Güvenlik açığıyla ilgili danışma belgesinde “Sisteme yanlış girişleri günlüğe kaydetmek için çift tırnak kullanıldığı için Bash komutları çalıştırılabilir” ifadesi yer aldı. Sonuç olarak, kimliği doğrulanmamış bilgisayar korsanları oturum açma işlemi sırasında kötü amaçlı komutlar yürütebilir. Aşağıdaki video, istismarın akışını göstermektedir.
Centos Web Paneli 7 Kimliği Doğrulanmamış Uzaktan Kod Yürütme – CVE-2022-44877
Daily Swig’e göre güvenlik açığı, /login/index.php bileşeninde bulunuyor ve CWP’nin yanlış girişleri günlüğe kaydederken hatalı bir yapı kullanması sonucu ortaya çıktı. yapı: echo "incorrect entry, IP address, HTTP_REQUEST_URI" >> /blabla/wrong.log. Türle, “İstek URI’si kullanıcıdan geldiği için ve gördüğünüz gibi çift tırnak içinde olduğu için bir bash özelliği olan $(blabla) gibi komutları çalıştırmak mümkün oluyor” dedi.
İstismarın kolaylığı ve ciddiyeti ve çalışan istismar kodunun mevcudiyeti göz önüne alındığında, Control Web Panel kullanan kuruluşların 0.9.8.1147 veya sonraki sürümünü çalıştırdıklarından emin olmaları gerekir.
