Des acteurs malveillants tentent activement d’exploiter une vulnérabilité critique récemment corrigée dans Control Web Panel (CWP) qui permet des privilèges élevés et l’exécution de code à distance non authentifié (RCE) sur des serveurs sensibles.

Suivi sous le numéro CVE-2022-44877 (score CVSS : 9,8), le bogue affecte toutes les versions du logiciel antérieures à la 0.9.8.1147 et a été corrigé par ses responsables le 25 octobre 2022.

Control Web Panel, anciennement connu sous le nom de CentOS Web Panel, est un outil d’administration de serveur populaire pour les systèmes Linux d’entreprise.

« login/index.php dans CWP (alias Control Web Panel ou CentOS Web Panel) 7 avant 0.9.8.1147 permet aux attaquants distants d’exécuter des commandes OS arbitraires via des métacaractères shell dans le paramètre de connexion », selon le NIST.

Le chercheur de Gais Security, Numan Turle, a été crédité d’avoir découvert et signalé la faille aux développeurs de Control Web Panel.

L’exploitation de la faille aurait commencé le 6 janvier 2023, suite à la disponibilité d’une preuve de concept (PoC), ont révélé la Shadowserver Foundation et GreyNoise.

« Il s’agit d’un RCE non authentifié », a déclaré Shadowserver dans une série de tweets, ajoutant que « l’exploitation est triviale ».

GreyNoise a déclaré avoir observé à ce jour quatre adresses IP uniques tentant d’exploiter CVE-2022-44877, dont deux sont situées aux États-Unis et une aux Pays-Bas et une en Thaïlande.

À la lumière de l’exploitation active dans la nature, il est conseillé aux utilisateurs qui dépendent du logiciel d’appliquer les correctifs pour atténuer les menaces potentielles.

Ce n’est pas la première fois que des failles similaires sont découvertes dans CWP. En janvier 2022, deux problèmes critiques ont été identifiés dans le panneau d’hébergement qui auraient pu être militarisés pour obtenir une exécution de code à distance pré-authentifiée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *