Support technique
Documentation
Connexion
Nous contacter
Les attaquants exploitent activement le panneau Web de contrôle non corrigé.
Le 27 janvier 2023 - L'équipe de relations publiques de TuxCare
Des pirates malveillants ont commencé à exploiter une vulnérabilité critique CVE-2022-44877 dans les versions non corrigées du panneau Web de contrôle, une interface d'hébergement Web gratuite et fermée très populaire.
La vulnérabilité, qui permet l'exécution de code à distance sans authentification, a été corrigée en octobre après avoir été découverte et signalée par Numan Turle, chercheur chez Gais Cyber Security, qui a publié l'exploit de preuve de concept le 3 janvier. GreyNoise et The Shadowserver Foundation ont ensuite enregistré une exploitation active, cette dernière notant une exploitation initiale le 6 janvier.
Bien que la vulnérabilité critique affectant Control Web Panel ait été officiellement corrigée le 25 octobre 2022, les preuves d'une exploitation active commencent à s'accumuler.
CVE-2022-44877 est une vulnérabilité d'exécution de code à distance causée par une seule ligne de code dans le fichier /login/index.php, permettant aux attaquants non authentifiés d'exécuter du code sur la machine hébergeant le panneau Web de contrôle.
Afin de consigner les erreurs, la ligne problématique utilise la structure suivante : echo : "entrée incorrecte, adresse IP, HTTP REQUEST URI" est renvoyé. Selon les chercheurs, comme l'URI de la requête provient de l'utilisateur et qu'il est placé entre guillemets, il est possible d'exécuter des commandes telles que $(blabla), qui est une fonctionnalité de bash.
Étant donné que la fonctionnalité de journalisation est basée sur bash (via la commande echo) et que le paramètre HTTP REQUEST URI est contrôlé par l'utilisateur, un attaquant peut utiliser une fonctionnalité intégrée de bash appelée Command Substitution pour créer une requête HTTP "malveillante" contenant des commandes système.
Dans certaines attaques, l'exploit est utilisé pour lancer un reverse shell. À l'aide du module Python pty, les charges utiles codées sont converties en commandes Python qui appellent la machine de l'attaquant et génèrent un terminal sur l'hôte vulnérable.
Selon GreyNoise, au moins quatre adresses IP différentes ciblent actuellement activement la vulnérabilité. Les administrateurs sont donc invités à agir rapidement et à mettre à jour CWP vers la version la plus récente disponible, actuellement la 0.9.8.1148, qui a été publiée le 1er décembre 2022.
Les sources de cet article comprennent un article de BleepingComputer.
