ClickCease Angreifer nutzen aktiv das ungepatchte Control Web Panel aus

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Angreifer nutzen aktiv das ungepatchte Control Web Panel aus

Januar 27, 2023 - TuxCare PR Team

Böswillige Hacker haben damit begonnen, eine kritische Sicherheitslücke CVE-2022-44877 in ungepatchten Versionen des Control Web Panel auszunutzen, einer beliebten kostenlosen, quelloffenen Web-Hosting-Schnittstelle.

Die Schwachstelle ermöglicht die Remotecodeausführung ohne Authentifizierung und wurde im Oktober gepatcht, nachdem sie vom Gais Cyber Security-Forscher Numan Turle entdeckt und gemeldet worden war, der den Proof-of-Concept-Exploit am 3. Januar veröffentlichte. GreyNoise und The Shadowserver Foundation registrierten daraufhin eine aktive Ausnutzung der Schwachstelle, wobei letztere die erste Ausnutzung am 6. Januar meldete.

Obwohl die kritische Sicherheitslücke, die das Control Web Panel betrifft, am 25. Oktober 2022 offiziell gepatcht wurde, häufen sich die Hinweise auf eine aktive Ausnutzung.

CVE-2022-44877 ist eine Sicherheitslücke bei der Remotecodeausführung, die durch eine einzige Codezeile in der Datei /login/index.php verursacht wird und es nicht authentifizierten Angreifern ermöglicht, Code auf dem Rechner auszuführen, der das Control Web Panel hostet.

Um Fehler zu protokollieren, verwendet die problematische Zeile die folgende Struktur: echo: "Falscher Eintrag, IP-Adresse, HTTP REQUEST URI" wird zurückgegeben. Den Forschern zufolge ist es möglich, Befehle wie $(blabla), eine Bash-Funktion, auszuführen, da die Anfrage-URI vom Benutzer stammt und in Anführungszeichen eingeschlossen ist.

Da die Protokollierungsfunktionalität auf Bash (über den Befehl echo) basiert und der HTTP REQUEST URI-Parameter vom Benutzer gesteuert wird, kann ein Angreifer eine integrierte Bash-Funktion namens Command Substitution verwenden, um eine "bösartige" HTTP-Anfrage mit Systembefehlen zu erstellen.

Bei einigen Angriffen wird der Exploit verwendet, um eine Reverse Shell zu starten. Mithilfe des Python pty-Moduls werden die verschlüsselten Nutzdaten in Python-Befehle umgewandelt, die den Rechner des Angreifers aufrufen und ein Terminal auf dem anfälligen Host starten.

Nach Angaben von GreyNoise nutzen derzeit mindestens vier verschiedene IP-Adressen die Sicherheitslücke aktiv aus. Administratoren werden daher dringend gebeten, schnell zu handeln und CWP auf die neueste verfügbare Version zu aktualisieren, derzeit 0.9.8.1148, die am 1. Dezember 2022 veröffentlicht wurde.

Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.

Zusammenfassung
Angreifer nutzen aktiv das ungepatchte Control Web Panel aus
Artikel Name
Angreifer nutzen aktiv das ungepatchte Control Web Panel aus
Beschreibung
Böswillige Hacker haben begonnen, eine kritische Sicherheitslücke CVE-2022-44877 in ungepatchten Versionen des Control Web Panel auszunutzen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter