Добре відома та широко використовувана веб-панель керування веб-хостингом (CWP) має критичну вразливість безпеки від 9.8 до CVSSv3.1. Зловмисники можуть встановити оболонки на сервер або збирати та витягувати інформацію.
3 січня 2023 року дослідник ІТ-безпеки Нуман Тюрле з Gais Cyber Security опублікував доказ концепції вразливості в програмному забезпеченні для керування сервером Control Web Panel (CWP) — раніше CentOS Web Panel. Уразливість дозволяє віддаленому неавтентифікованому зловмиснику виконувати код у враженій системі на основі відсутності нейтралізації вхідних даних. Розкриття інформації відбулося після завершення процесу координації вразливостей, який Türle ініціював у виробника в жовтні минулого року.
З 9.8 після CVSSv3.1 як «критичну» вразливість
Відповідно до загальної системи оцінки вразливості вразливість класифікується як «критична» зі значенням 9.8 (CVSSv3.1). Уразливість указана під номером CVE-2022-44877 у розділі Загальні вразливості та викриття. Спроби атак на вразливі системи мали місце вже через кілька днів після публікації. Спостерігалися різні підходи зловмисників. Крім іншого, на серверах встановлювали оболонки, а в деяких випадках атаки обмежувалися збором інформації.
Широке використання CWP, поточне підтвердження концепції та відносно проста можливість використання вразливості означають, що ймовірність кібератаки в даний час оцінюється як дуже висока. Навіть якщо зловмисники іноді обмежуються збором інформації, отримані знання можуть бути використані для підготовки до наступних атак.
Оновлення доступне вже давно
Розробники веб-панелі керування випустили оновлення 25 жовтня 2022 року, яке закриває вразливість. Співробітники ІТ-безпеки повинні якомога швидше перевірити та встановити принаймні це оновлення або новішу версію (версія 0.9.8.1148). Водночас слід перевіряти файли журналів, щоб виявити спроби атак, які вже мали місце. Підказками можуть бути, наприклад, зміни в системі або доступ із підозрілих IP-адрес. Додаткову інформацію щодо виявлення подій, пов’язаних із безпекою, можна знайти в IT-Grundschutz.
Більше на BSI.bund.de
Про Федеральне відомство з інформаційної безпеки (BSI) Федеральне відомство з інформаційної безпеки (BSI) є федеральним органом з кібербезпеки та розробником безпечної цифровізації в Німеччині. Заява місії: BSI, як федеральний орган кібербезпеки, розробляє інформаційну безпеку в оцифровці шляхом запобігання, виявлення та реагування для держави, бізнесу та суспільства.