공격자는 패치되지 않은 제어 웹 패널을 적극적으로 악용합니다.
악의적인 해커들이 인기 있는 무료 비공개 소스 웹 호스팅 인터페이스인 제어 웹 패널의 패치되지 않은 버전에서 심각한 취약점인 CVE-2022-44877을 악용하기 시작했습니다.
이 취약점은 인증 없이 원격 코드 실행을 허용하며, 1월 3일 개념 증명 익스플로잇을 공개한 가이스 사이버 보안 연구원 누만 터틀이 발견하고 보고한 후 10월에 패치가 이루어졌습니다. 그 후 그레이노이즈와 쉐도우서버 재단은 1월 6일에 초기 익스플로잇을 발표하며 활발한 익스플로잇을 기록했습니다.
제어 웹 패널에 영향을 미치는 중대한 취약점은 2022년 10월 25일에 공식적으로 패치되었지만, 익스플로잇이 활발하게 이루어지고 있다는 증거가 축적되기 시작했습니다.
CVE-2022-44877은 /login/index.php 파일의 한 줄 코드로 인해 발생하는 원격 코드 실행 취약점으로, 인증되지 않은 공격자가 제어 웹 패널을 호스팅하는 시스템에서 코드를 실행할 수 있게 합니다.
오류를 기록하기 위해 문제가 있는 줄은 다음과 같은 구조를 사용합니다: "잘못된 입력, IP 주소, HTTP 요청 URI"가 반환됩니다. 연구진에 따르면 요청 URI가 사용자로부터 왔고 큰따옴표로 묶여 있기 때문에 bash 기능인 $(blabla)와 같은 명령을 실행할 수 있다고 합니다.
로깅 기능이 bash(echo 명령을 통해)를 기반으로 하고 HTTP 요청 URI 매개변수는 사용자가 제어할 수 있기 때문에 공격자는 명령 대체라는 내장된 bash 기능을 사용하여 시스템 명령이 포함된 '악성' HTTP 요청을 만들 수 있습니다.
일부 공격에서는 이 익스플로잇이 리버스 셸을 실행하는 데 사용됩니다. 인코딩된 페이로드는 Python pty 모듈을 사용하여 공격자의 머신을 호출하고 취약한 호스트에 터미널을 생성하는 Python 명령으로 변환됩니다.
그레이노이즈에 따르면 현재 최소 4개의 서로 다른 IP 주소가 이 취약점을 적극적으로 노리고 있다고 합니다. 따라서 관리자는 신속하게 조치를 취하여 현재 사용 가능한 최신 버전(2022년 12월 1일에 릴리스된 0.9.8.1148)으로 CWP를 업데이트할 것을 권장합니다.
이 글의 출처는 BleepingComputer의 기사입니다.