Explotación activa de vulnerabilidad crítica en CWP

13 Enero 2023
Alto

 

Desde el 6 de enero de 2023 se ha estado explotando, por diversos actores maliciosos, una vulnerabilidad crítica CVE-2022-44877 [CVSS: 9,8] de Control Web Panel (CWP) luego de la publicación de una prueba de concepto (PoC). Los proveedores de CWP lanzaron el 25 de octubre de 2022 un parche que solucionaba el problema en versiones anteriores a 0.9.8.1147, sin embargo, hay miles de instancias de Control Web Panel aun sin ser parchadas.

 

Control Web Panel

CWP es un servidor de configuración para alojamiento web, que provee una interfaz gráfica para la gestión de usuarios y la administración de los servicios. 

CVE-2022-44877 [CVSS: 9,8]
Vulnerabilidad de inyección de comando de sistema operativo

El login/index.php en CWP (también conocido como Control Web Panel o CentOS Web Panel) 7 anterior a 0.9.8.1147, permite a atacantes remotos ejecutar comandos arbitrarios en el  sistema operativo a través de metacaracteres de shell, en el parámetro de inicio de sesión.

 

Del descubrimiento a la explotación de CVE-2022-44877 

Numan Türle de Gais Cyber ​​Security, es el responsable de dar a conocer en octubre del 2022 la vulnerabilidad crítica en CWP. El 3 de enero de 2023, Numan, publicó la prueba de concepto (PoC) junto con un video mostrando cómo se lleva a cabo la explotación de este fallo.

Bastó solo unos días, después de la publicación, para que se evidenciara la masiva explotación de la falla por parte de actores maliciosos, los cuales buscaban obtener acceso remoto a sistemas sin parches y encontrar máquinas más vulnerables.

 

Exploit de CVE-2022-44877 publicado por Numan Türle

 

Adicionalmente, mediante una revisión por los sensores de plataforma Shodan, se detecta que a modo global existen aproximadamente 435.000 servidores expuestos a internet, donde 22.775 pertenecen a LATAM y 152 corresponden a Chile, tal como se muestra a continuación.

 

 

 

Del TOP 5 de países afectados identificados por la misma plataforma, se detecta a Brasil liderando la lista, seguido de Argentina y Chile.

Sobre el modus operandi de los actores de amenazas, los investigadores de Shadowserver comparten información que sugiere que los atacantes están encontrando hosts vulnerables y explotando el CVE-2022-44877 para generar una terminal para interactuar con la máquina.

Agregan además que, “En algunos ataques, los actores utilizan el exploit para iniciar un shell inverso. Las cargas útiles codificadas se convierten en comandos de Python que llaman a la máquina del atacante y generan una terminal en el host vulnerable mediante el módulo pty de Python. Otros ataques solo buscaban identificar máquinas vulnerables”.

 

Apreciación

Tal como se comenta anteriormente, la vulnerabilidad fue descubierta, notificada y solucionada por los proveedores hace un poco más de dos meses hasta la fecha de hoy, 13 de enero del 2023 y aún así, existen múltiples instancias expuestas en internet que no han actualizado el software. Esta situación favorece las acciones y planes de los ciberatacantes que aprovechan las malas prácticas de los usuarios. 

En diciembre de 2022, se lanzó una nueva versión (0.9.8.1148) que corrige la vulnerabilidad, la cual sigue disponible para que los administradores puedan actualizar su Control Web Panel.

Es importante saber que explotar el CVE-2022-44877 no tiene una mayor dificultad para los atacantes, los cuales además, ya cuentan  con el código de explotación público para su uso, por ende, todo lo que les hace falta es encontrar objetivos vulnerables.

Se insta a los administradores y usuarios a parchar a la brevedad posible su CWP a la versión 0.9.8.1148.

 

 

ENTEL Weekly Threat Intelligence Brief del 09 de enero al 15 de enero de 2023

Raccoon y Vidar Stealers mantienen sus operaciones vigentes

Patch Tuesday Microsoft de enero corrige 98 vulnerabilidades

 

 

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Parche #CVE-2022-44877 #CWP #Control Web Panel #Exploit #PoC


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.