Bedrohungsakteure missbrauchen eine bekannte Schwachstelle im Control Web Panel (CWP), um Reverse-Shells zu starten und bösartigen Code aus der Ferne auszuführen.
Der Forscher Numan Türle von Gais Cyber Security hat ein YouTube-Video veröffentlicht, das zeigt, wie die Schwachstelle ausgenutzt werden kann. Drei Tage später beobachteten die Forscher einen Anstieg des Missbrauchs des Fehlers, der als CVE-2022-44877 verfolgt wird und einen Schweregrad von 9,8/10 – kritisch – aufweist.
Der Fix für die missbrauchte Schwachstelle wurde Ende Oktober 2022 veröffentlicht, aber seit ein Sicherheitsforscher einen Proof-of-Concept (PoC) veröffentlichte, beschleunigten Hacker das Tempo.
Umgekehrte Schale
Die potenzielle Angriffsfläche ist recht groß. Laut CloudSek, das den PoC analysiert hat, bringt eine Suche nach CWP-Servern auf Shodan mehr als 400.000 über das Internet zugängliche Instanzen zurück. Obwohl nicht alle davon offensichtlich anfällig sind, zeigt es, dass der Fehler ein ziemlich zerstörerisches Potenzial hat. Darüber hinaus behaupten die Forscher der Shadowserver Foundation, dass jeden Tag etwa 38.000 CWP-Instanzen auftauchen.
Endpunkte (öffnet in neuem Tab) die wirklich angreifbar sind, werden ausgenutzt, um ein Interaktionsterminal hervorzubringen, sagen Forscher. Beim Starten einer Reverse-Shell wandelten Hacker verschlüsselte Payloads in Python-Befehle um, die die Geräte des Angreifers erreichen und ein Terminal mit dem Python-pty-Modul erstellen würden. Allerdings sind nicht alle Hacker so schnell – einige scannen nur nach verwundbaren Maschinen, möglicherweise um sich auf zukünftige Angriffe vorzubereiten, spekulieren Forscher.
Das Schlimmste am Missbrauch von CVE-2022-44877 für Angriffe ist, dass es super einfach geworden ist, insbesondere nachdem der Exploit-Code veröffentlicht wurde. Alles, was Hacker jetzt tun müssen, ist, verwundbare Ziele zu finden, was laut der Veröffentlichung eine „niedrige Aufgabe“ ist.
CWP-Version 0.9.8.1147, die dieses Problem behebt, wurde am 25. Oktober 2022 veröffentlicht. IT-Administratoren werden dringend gebeten, diesen Fix anzuwenden oder noch besser – CWP auf die aktuelle Version von 0.9.8.1148 zu aktualisieren, die Anfang Dezember veröffentlicht wurde.
Über: Piepender Computer (öffnet in neuem Tab)