Los actores maliciosos están intentando activamente explotar una vulnerabilidad crítica parcheada recientemente en Control Web Panel (CWP) que permite privilegios elevados y ejecución remota de código (RCE) no autenticado en servidores susceptibles.
rastreado como CVE-2022-44877 (puntaje CVSS: 9.8), el error afecta a todas las versiones del software antes de la 0.9.8.1147 y fue parcheado por sus mantenedores el 25 de octubre de 2022.
Control Web Panel, anteriormente conocido como CentOS Web Panel, es una popular herramienta de administración de servidores para sistemas Linux basados en empresas.
“login/index.php en CWP (también conocido como Control Web Panel o CentOS Web Panel) 7 anterior a 0.9.8.1147 permite a atacantes remotos ejecutar comandos arbitrarios del sistema operativo a través de metacaracteres de shell en el parámetro de inicio de sesión”, según NIST.
Al investigador de Gais Security, Numan Turle, se le atribuye el descubrimiento y la notificación de la falla a los desarrolladores del Control Web Panel.
Se dice que la explotación de la falla comenzó el 6 de enero de 2023, luego de la disponibilidad de una prueba de concepto (PoC), revelaron Shadowserver Foundation y GreyNoise.
“Este es un RCE no autenticado”, servidor de las sombras dicho en una serie de tuits, agregando, “la explotación es trivial”.
GreyNoise dijo que tiene observado cuatro direcciones IP únicas que intentan explotar CVE-2022-44877 hasta la fecha, dos de las cuales se encuentran en los EE. UU. y una en los Países Bajos y otra en Tailandia.
A la luz de la explotación activa en la naturaleza, se recomienda a los usuarios que dependen del software que apliquen los parches para mitigar las amenazas potenciales.
Esta no es la primera vez que se descubren fallas similares en CWP. En enero de 2022, se identificaron dos problemas críticos en el panel de hospedaje que podrían haberse armado para lograr la ejecución de código remoto autenticado previamente.