Tin tặc đang cố gắng khai thác một lỗ hổng nghiêm trọng đã được vá gần đây trong Control Web Panel (CWP) cho phép nâng cao các đặc quyền và thực thi mã từ xa không xác thực (RCE) trên các máy chủ dễ bị tấn công.
Lỗ hổng được theo dõi là CVE-2022-44877 (điểm CVSS: 9,8), ảnh hưởng đến tất cả các phiên bản của phần mềm trước 0.9.8.1147 và đã được vá vào ngày 25 tháng 10 năm 2022.
Control Web Panel, trước đây gọi là CentOS Web Panel, là một công cụ quản trị máy chủ phổ biến cho các hệ thống Linux của doanh nghiệp.
“login/index.php trong CWP (còn gọi là Control Web Panel hoặc CentOS Web Panel) 7 trước 0.9.8.1147 cho phép kẻ tấn công từ xa thực thi các lệnh OS tùy ý thông qua ký tự shell trong login parameter,”, theo NIST .
Nhà nghiên cứu Numan Turle của Gais Security đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng cho các nhà phát triển Control Web Panel.
Việc khai thác lỗ hổng được cho là đã bắt đầu vào ngày 6 tháng 1 năm 2023, sau khi POC , Shadowserver Foundation và GreyNoise tiết lộ.
“Đây là một RCE chưa được xác thực,” Shadowserver cho biết trong một loạt các tweet, đồng thời cho biết thêm, “việc khai thác là chuyện nhỏ.”
GreyNoise cho biết họ đã thấy có bốn địa chỉ IP duy nhất đang khai thác CVE-2022-44877. Cho đến nay, hai trong số đó được đến từ Hoa Kỳ và một địa chỉ từ Hà Lan và Thái Lan.
Người dùng nên áp dụng các bản vá để giảm thiểu các mối đe dọa tiềm ẩn.
