よく知られて広く使用されている Web Hosting Control Web Panel (CWP) には、9.8 から CVSSv3.1 までの重大なセキュリティ脆弱性があります。 攻撃者は、サーバーにシェルをインストールしたり、情報を収集して抽出したりできます。
3 年 2023 月 XNUMX 日、Gais Cyber Security の IT セキュリティ研究者 Numan Türle は、サーバー管理ソフトウェア Control Web Panel (CWP) (以前の CentOS Web Panel) の脆弱性の概念実証を公開しました。 この脆弱性により、認証されていないリモートの攻撃者が、入力中和の欠如に基づいて、影響を受けるシステムでコードを実行できます。 情報の開示は、Türle が昨年 XNUMX 月にメーカーで開始した脆弱性調整プロセスの完了に続いて行われました。
「重大な」脆弱性として CVSSv9.8 の後の 3.1 を使用
Common Vulnerability Scoring System によると、脆弱性は 9.8 (CVSSv3.1) の値で「重大」に分類されます。 この脆弱性は、Common Vulnerabilities and Exposures の番号 CVE-2022-44877 に記載されています。 脆弱なシステムを攻撃する試みは、公開の数日後にすでに行われていました。 攻撃者のさまざまなアプローチが観察されました。 とりわけ、サーバーにはシェルがインストールされており、場合によっては、攻撃は情報の収集に限定されていました。
CWP の普及、現在の概念実証、および脆弱性の比較的単純な悪用可能性は、サイバー攻撃の可能性が現在非常に高いと評価されなければならないことを意味します。 攻撃者が情報収集に限定したとしても、得られた知識を使用して次の攻撃に備えることができます。
久々に更新がありました
コントロール Web パネルの開発者は、25 年 2022 月 0.9.8.1148 日に脆弱性を解決する更新プログラムをリリースしました。 IT セキュリティ担当者は、少なくともこの更新プログラムまたは新しいバージョン (バージョン XNUMX) をできるだけ早く確認してインストールする必要があります。 同時に、ログ ファイルをチェックして、すでに行われた攻撃の試みを検出する必要があります。 ヒントは、たとえば、システムに加えられた変更や疑わしい IP アドレスからのアクセスである可能性があります。 セキュリティ関連のイベントの検出に関する詳細情報は、IT-Grundschutz にあります。
詳細は BSI.bund.de をご覧ください
連邦情報セキュリティ局 (BSI) について 連邦情報セキュリティ局 (BSI) は、連邦のサイバー セキュリティ機関であり、ドイツにおける安全なデジタル化の設計者です。 ミッション ステートメント: BSI は、連邦のサイバー セキュリティ機関として、州、企業、社会の防止、検出、および対応を通じて、デジタル化における情報セキュリティを設計します。