Das bekannte und viel verwendete Web Hosting Control Web Panel (CWP) hat eine kritische Sicherheitslücke von 9.8 nach CVSSv3.1. Angreifer können Shells auf den Server installieren oder Informationen sammeln und extrahieren.
Am 3. Januar 2023 veröffentlichte der IT-Sicherheitsforscher Numan Türle von Gais Cyber Security einen Proof of Concept zu einer Schwachstelle in der Server-Verwaltungssoftware Control Web Panel (CWP) – ehemals CentOS Web Panel. Die Sicherheitslücke ermöglicht es einem entfernten, nicht authentifizierten Angreifer, auf Basis einer fehlenden Neutralisierung von Eingaben Code auf dem betroffenen System auszuführen. Die Bekanntgabe der Informationen folgte auf ein abgeschlossenes Schwachstellen-Koordinierungsverfahren, das Türle im vergangenen Oktober beim Hersteller angestoßen hatte.
Mit 9.8 nach CVSSv3.1 als „kritisch“ Sicherheitslücke
Gemäß Common Vulnerability Scoring System ist die Schwachstelle mit einem Wert von 9.8 als „kritisch“ eingestuft (CVSSv3.1). In den Common Vulnerabilities and Exposures wird die Sicherheitslücke unter der Nummer CVE-2022-44877 geführt. Wenige Tage nach der Veröffentlichung fanden bereits Angriffsversuche auf verwundbare Systeme statt. Dabei wurden verschiedene Vorgehensweisen der Angreifenden beobachtet. Unter anderem kam es zur Installation von Shells auf den Servern, teilweise beschränkten sich die Angriffe lediglich auf die Sammlung von Informationen.
Die große Verbreitung von CWP, der vorliegende Proof of Concept sowie die vergleichsweise einfache Ausnutzbarkeit der Schwachstelle führen dazu, dass die Wahrscheinlichkeit eines Cyber-Angriffs derzeit als sehr hoch eingeschätzt werden muss. Auch wenn sich die Angreifenden zum Teil nur auf die Informationsbeschaffung beschränken, könnten die gewonnenen Erkenntnisse zur Vorbereitung späterer Angriffe genutzt werden.
Update steht schon lange bereit
Die Entwickler von Control Web Panel haben am 25. Oktober 2022 ein Update zur Verfügung gestellt, in dem die Schwachstelle geschlossen wird. IT-Sicherheitsverantwortliche sollten schnellstmöglich mindestens dieses Update oder eine neuere Version (Version 0.9.8.1148) prüfen und installieren. Gleichzeitig sollten Log-Dateien geprüft werden, um bereits erfolgte Angriffsversuche zu detektieren. Hinweise können zum Beispiel vorgenommene Veränderungen am System oder Zugriffe von verdächtigen IP-Adressen sein. Weitere Informationen zur Detektion von sicherheitsrelevanten Ereignissen finden sich im IT-Grundschutz.
Mehr bei BSI.bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.