İyi bilinen ve yaygın olarak kullanılan Web Barındırma Denetimi Web Paneli (CWP), 9.8'den CVSSv3.1'e kadar kritik bir güvenlik açığına sahiptir. Saldırganlar, sunucuya kabuk yükleyebilir veya bilgi toplayıp çıkarabilir.
3 Ocak 2023'te Gais Cyber Security'den BT güvenlik araştırmacısı Numan Türle, eski adı CentOS Web Panel olan sunucu yönetim yazılımı Control Web Panel'deki (CWP) bir güvenlik açığı için bir kavram kanıtı yayınladı. Güvenlik açığı, kimliği doğrulanmamış uzaktaki bir saldırganın, giriş nötrleştirme eksikliğine bağlı olarak etkilenen sistemde kod yürütmesine olanak tanır. Bilgilerin açıklanması, Türle'nin geçtiğimiz Ekim ayında üreticide başlattığı tamamlanan güvenlik açığı koordinasyon sürecini takip etti.
"Kritik" güvenlik açığı olarak CVSSv9.8'den sonra 3.1 ile
Ortak Güvenlik Açığı Puanlama Sistemine göre güvenlik açığı 9.8 (CVSSv3.1) değeriyle "kritik" olarak sınıflandırılıyor. Güvenlik açığı, Ortak Güvenlik Açıkları ve Etkilenmeler bölümünde CVE-2022-44877 numarası altında listelenmiştir. Savunmasız sistemlere saldırma girişimleri, yayınlandıktan birkaç gün sonra zaten yapılıyordu. Saldırganların çeşitli yaklaşımları gözlemlendi. Diğer şeylerin yanı sıra, sunuculara mermiler yerleştirildi ve bazı durumlarda saldırılar bilgi toplamakla sınırlıydı.
CWP'nin yaygın kullanımı, mevcut konsept kanıtı ve güvenlik açığının nispeten basit bir şekilde istismar edilebilirliği, bir siber saldırı olasılığının şu anda çok yüksek olarak değerlendirilmesi gerektiği anlamına gelir. Saldırganlar bazen kendilerini bilgi toplamakla sınırlasalar bile, elde edilen bilgiler sonraki saldırıları hazırlamak için kullanılabilir.
Güncelleme uzun süredir mevcut
Control Web Panel geliştiricileri, 25 Ekim 2022'de güvenlik açığını kapatan bir güncelleme yayınladı. BT güvenlik görevlileri, mümkün olan en kısa sürede en azından bu güncellemeyi veya daha yeni bir sürümü (sürüm 0.9.8.1148) kontrol etmeli ve kurmalıdır. Aynı zamanda, halihazırda gerçekleşmiş olan saldırı girişimlerini tespit etmek için günlük dosyaları kontrol edilmelidir. İpuçları, örneğin sistemde yapılan değişiklikler veya şüpheli IP adreslerinden erişim olabilir. Güvenlikle ilgili olayların tespiti hakkında daha fazla bilgi IT-Grundschutz'da bulunabilir.
BSI.bund.de'de daha fazlası
Federal Bilgi Güvenliği Ofisi (BSI) hakkında Federal Bilgi Güvenliği Ofisi (BSI), federal siber güvenlik yetkilisidir ve Almanya'da güvenli sayısallaştırma tasarımcısıdır. Görev beyanı: Federal siber güvenlik otoritesi olarak BSI, devlet, iş dünyası ve toplum için önleme, tespit ve müdahale yoluyla dijitalleştirmede bilgi güvenliği tasarlar.