Böswillige Akteure versuchen aktiv, eine kürzlich gepatchte kritische Sicherheitslücke in Control Web Panel (CWP) auszunutzen, die erhöhte Privilegien und unauthentifizierte Remotecodeausführung (RCE) auf anfälligen Servern ermöglicht.
Der als CVE-2022-44877 (CVSS-Score: 9.8) bekannte Fehler betrifft alle Versionen der Software vor 0.9.8.1147 und wurde von den Entwicklern am 25. Oktober 2022 gepatcht.
Control Web Panel, früher bekannt als CentOS Web Panel, ist ein beliebtes Server-Administrationstool für unternehmensbasierte Linux-Systeme.
„login/index.php in CWP (auch bekannt als Control Web Panel oder CentOS Web Panel) 7 vor 0.9.8.1147 ermöglicht entfernten Angreifern die Ausführung beliebiger Betriebssystembefehle über Shell-Metazeichen im Login-Parameter“, so das NIST.
Numan Turle, ein Forscher von Gais Security, hat die Schwachstelle entdeckt und an das Control Web Panel gemeldet.
Die Ausnutzung der Schwachstelle soll am 6. Januar 2023 begonnen haben, nachdem ein Proof-of-Concept (PoC) verfügbar war, teilten die Shadowserver Foundation und GreyNoise mit.
„Dies ist ein unauthentifizierter RCE“, sagte Shadowserver in einer Reihe von Tweets und fügte hinzu: „Die Ausnutzung ist trivial“.
GreyNoise gab an, bisher vier IP-Adressen beobachtet zu haben, die versucht haben, CVE-2022-44877 auszunutzen, zwei davon in den USA und jeweils eine in den Niederlanden und Thailand.
Angesichts der aktiven Ausnutzung in freier Wildbahn wird Nutzern, die auf die Software angewiesen sind, empfohlen, die Patches zu installieren, um potenzielle Bedrohungen zu entschärfen.
Dies ist nicht das erste Mal, dass ähnliche Schwachstellen in CWP entdeckt wurden. Im Januar 2022 wurden zwei kritische Schwachstellen im Hosting-Panel identifiziert, die für die Ausführung von Code aus der Ferne missbraucht werden konnten.