Hackers aprovechan falla del Control Web Panel para abrir reverse shells

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hackers están explotando activamente una vulnerabilidad crítica parcheada recientemente en Control Web Panel (CWP), una herramienta para administrar servidores anteriormente conocida como CentOS Web Panel.

El problema de seguridad se identifica como CVE-2022-44877 y recibió una puntuación de gravedad crítica de 9,8 sobre 10, ya que permite que un atacante ejecute código de forma remota sin autenticación.

Código de explotación fácilmente disponible

El 3 de enero, el investigador Numan Türle de Gais Cyber Security, que había informado sobre el problema alrededor de octubre del año pasado, publicó un exploit de prueba de concepto (PoC) y un video que muestra cómo funciona.



Tres días después, los investigadores de seguridad notaron que los piratas informáticos explotaban la falla para obtener acceso remoto a sistemas sin parches y encontrar máquinas más vulnerables.

CWP versión 0.9.8.1147 se lanzó el 25 de octubre de 2022 para corregir CVE-2022-44877, que afecta a las versiones anteriores del panel.

Un análisis técnico del código de explotación PoC está disponible en CloudSek, que realizó una búsqueda de servidores CWP en la plataforma Shodan y encontró más de 400 000 instancias CWP accesibles a través de Internet.

Instancias de Control Web Panel (CentOS Web Panel) en Internet
fuente: CloudSek
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de la Shadowserver Foundation, que observaron la explotación de la vulnerabilidad, señalan que sus análisis detectan alrededor de 38 000 instancias de CWP todos los días.

Esta cifra no representa máquinas vulnerables sino la población vista por la plataforma.

Instancias de Web Panel de control en escaneos diarios de Shadowserver
fuente: La Fundación Shadowserver
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La actividad maliciosa registrada por Shadowserver reveló que los atacantes están encontrando hosts vulnerables y explotando CVE-2022-44877 para generar una terminal para interactuar con la máquina.

En algunos ataques, los piratas informáticos utilizan el exploit para iniciar un shell inverso (reverse shells). Las cargas útiles codificadas se convierten en comandos de Python que llaman a la máquina del atacante y generan una terminal en el host vulnerable mediante el módulo Python pty .

Otros ataques solo buscaban identificar máquinas vulnerables. No está claro si estos escaneos son realizados por investigadores o actores de amenazas que buscan encontrar máquinas para violar en una fecha posterior.

Parece que todos estos intentos de explotación se basan en el PoC público original de Numan Türle, ligeramente modificado para adaptarse a las necesidades del atacante.

La empresa de investigación GreyNoise también observó varios ataques en hosts CWP sin parches desde direcciones IP en los Estados Unidos, Tailandia y los Países Bajos.

Aprovechar CVE-2022-44877 es fácil y con el código de explotación ya público, todo lo que los piratas informáticos tienen que hacer es encontrar objetivos vulnerables, una tarea de baja categoría.

Los administradores deben tomar medidas inmediatas y actualizar CWP a la última versión disponible, actualmente 0.9.8.1148, lanzada el 1 de diciembre de 2022.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta