تتعرض الثغرة التي تبلغ شدتها 9.8 في لوحة التحكم على الويب للاستغلال النشط

بدأ المتسللون الخبثاء في استغلال ثغرة خطيرة في الإصدارات غير المصححة من لوحة التحكم على الويب ، وهي واجهة مستخدمة على نطاق واسع لاستضافة الويب.

كتب أعضاء من مجموعة Shadowserver على Twitter ، “هذا هو RCE غير مصدق عليه” ، مستخدمين الاختصار لاستغلال الكود عن بعد. “الاستغلال أمر تافه وقد تم نشر PoC.” يشير PoC إلى رمز إثبات المفهوم الذي يستغل الثغرة الأمنية.

يتم تعقب الثغرة الأمنية على أنها CVE-2022-44877. تم اكتشافه بواسطة Numan Türle من Gais Cyber ​​Security وتم تصحيحه في أكتوبر في الإصدار 0.9.8.1147. لم يتم الإعلان عن النصائح إلا في وقت سابق من هذا الشهر ، ومع ذلك ، فمن المحتمل أن بعض المستخدمين لا يزالون غير مدركين للتهديد.

تُظهر الأرقام التي قدمتها شركة GrayNoise الأمنية أن الهجمات بدأت في 7 يناير وتكثفت ببطء منذ ذلك الحين ، واستمرت الجولة الأخيرة حتى يوم الأربعاء. قالت الشركة إن الثغرات تأتي من أربعة عناوين IP منفصلة تقع في الولايات المتحدة وهولندا وتايلاند.

يُظهر Shadowserver أن هناك ما يقرب من 38000 عنوان IP تشغل Control Web Panel ، مع أعلى تركيز في أوروبا ، تليها أمريكا الشمالية ، وآسيا.

تصنيف الخطورة لـ CVE-2022-44877 هو 9.8 من 10. “أوامر Bash يمكن تشغيلها لأن علامات الاقتباس المزدوجة تُستخدم لتسجيل إدخالات غير صحيحة في النظام” ، كما ورد في النصائح الاستشارية للثغرة الأمنية. نتيجة لذلك ، يمكن للمتسللين الذين لم تتم مصادقتهم تنفيذ أوامر ضارة أثناء عملية تسجيل الدخول. يوضح الفيديو التالي تدفق الاستغلال.

تكمن الثغرة الأمنية في مكون /login/index.php ونتجت عن استخدام CWP لهيكل خاطئ عند تسجيل إدخالات غير صحيحة ، وفقًا لـ Daily Swig. الهيكل هو: echo "incorrect entry, IP address, HTTP_REQUEST_URI" >> /blabla/wrong.log. قال تورل في التدوينة: “نظرًا لأن عنوان URI للطلب يأتي من المستخدم ، وكما ترى في علامات الاقتباس المزدوجة ، فمن الممكن تشغيل أوامر مثل $ (blabla) ، وهي ميزة bash”.

نظرًا لسهولة وشدة الاستغلال وتوافر رمز استغلال يعمل ، يجب على المؤسسات التي تستخدم Control Web Panel التأكد من تشغيلها للإصدار 0.9.8.1147 أو أعلى.