Bilgisayar korsanları, daha önce Centos Web Paneli olarak bilinen sunucuları yönetme aracı olan Control Web Panelinde (CWP) yamalanan kritik bir güvenlik açığından aktif olarak yararlanıyor.
Güvenlik sorunu, CVE-2022-44877 olarak tanımlanır ve bir saldırganın kimlik doğrulaması olmadan kod uzaktan yürütülmesine izin verdiği için 10 üzerinden 9,8 kritik bir şiddet puanı aldı.
3 Ocak'ta, geçen yıl Ekim ayında sorunu bildiren GAIS Cyber Security'de araştırmacı Numan Türle, bir kavram kanıtı (POC) istismarı ve nasıl çalıştığını gösteren bir video yayınladı.
Üç gün sonra, güvenlik araştırmacıları, hackerların açılmamış sistemlere uzaktan erişim sağlamak ve daha savunmasız makineler bulmak için kusurdan yararlandığını fark ettiler.
CWP sürümü 0.9.8.1147, panelin önceki sürümlerini etkileyen CVE-2022-44877'yi düzeltmek için 25 Ekim 2022'de piyasaya sürüldü.
POC istismar kodunun teknik bir analizi, Shodan platformunda CWP sunucuları araması yapan ve İnternet üzerinden erişilebilen 400.000'den fazla CWP örneği bulan CloudSek'ten edinilebilir.
Güvenlik açığının sömürülmesini gözlemleyen Shadowserver Vakfı'ndaki araştırmacılar, taramalarının her gün yaklaşık 38.000 CWP örneği gördüğünü unutmayın.
Bu rakam savunmasız makineleri değil, platform tarafından görülen nüfusu temsil etmektedir.
Shadowserver tarafından kaydedilen ve BleepingComputer ile paylaşılan kötü niyetli etkinlikler, saldırganların savunmasız ana bilgisayarlar bulduğunu ve makineyle etkileşim için bir terminal oluşturmak için CVE-2022-44877'den yararlandığını ortaya koydu.
Bazı saldırılarda, bilgisayar korsanları bir ters kabuk başlatmak için istismar kullanıyor. Kodlanmış yükler, saldırganın makinesini çağıran ve Python Pty modülünü kullanarak savunmasız ana bilgisayarda bir terminal oluşturan Python komutlarına dönüşür.
Diğer saldırılar sadece savunmasız makineleri tanımlamak istiyordu. Bu taramaların daha sonraki bir tarihte ihlal edilecek makineler bulmak isteyen araştırmacılar veya tehdit aktörleri tarafından yürütülüp yürütülmediği belirsizdir.
Tüm bu sömürü girişimleri, Numan Türle'den gelen orijinal kamu POC'sine dayanıyor ve saldırganın ihtiyaçlarına uyacak şekilde biraz değiştirildi.
Araştırma şirketi Greynoise ayrıca ABD, Tayland ve Hollanda'daki IP adreslerinden gelen CWP sunucularına birkaç saldırı gözlemledi.
CVE-2022-44877'den yararlanmak kolaydır ve halka açık olan istismar kodu ile, bilgisayar korsanlarının yapması gereken tüm savunmasız hedefler, bir minial görev bulmaktır.
Yöneticiler derhal harekete geçmeli ve CWP'yi şu anda 1 Aralık 2022'de piyasaya sürülen 0.9.8.1148 olan en son sürüme güncellemelidir.
Auth0, 22.000 proje tarafından kullanılan JsonWebtoken Kütüphanesinde RCE kusurunu düzeltiyor
Ransomware Gang, sunucuları ihlal etmek için yeni Microsoft Exchange istismarını kullanıyor
Bilgisayar korsanları, backdoors yüklemek için kritik vmware rce kusurunu kullanır
Bilgisayar korsanları kritik Citrix ADC ve Gateway Zero Günü'nden yararlanıyor, şimdi yama
Cisco, istismar kodu ile yüksek şiddetli IP telefonu sıfır gününü açıklar
Kaynak: Bleeping Computer