Des acteurs malveillants tentent activement d’exploiter une vulnérabilité critique récemment corrigée dans Control Web Panel (CWP) qui permet des privilèges élevés et l’exécution de code à distance non authentifié (RCE) sur des serveurs sensibles.
Suivi comme CVE-2022-44877 (score CVSS : 9,8), le bogue affecte toutes les versions du logiciel avant la 0.9.8.1147 et a été patché par ses mainteneurs le 25 octobre 2022.
Control Web Panel, anciennement connu sous le nom de CentOS Web Panel, est un outil d’administration de serveur populaire pour les systèmes Linux d’entreprise.
« login/index.php dans CWP (alias Control Web Panel ou CentOS Web Panel) 7 avant 0.9.8.1147 permet aux attaquants distants d’exécuter des commandes OS arbitraires via des métacaractères shell dans le paramètre de connexion », selon NIST.
Le chercheur de Gais Security, Numan Turle, a été crédité d’avoir découvert et signalé la faille aux développeurs de Control Web Panel.
L’exploitation de la faille aurait commencé le 6 janvier 2023, suite à la disponibilité d’une preuve de concept (PoC), la Shadowserver Foundation et GreyNoise ont divulgué.
« Ceci est un RCE non authentifié, » Shadowserver m’a dit dans une série de tweets, ajoutant que « l’exploitation est triviale ».
GreyNoise a déclaré qu’il avait observé quatre adresses IP uniques tentant d’exploiter CVE-2022-44877 à ce jour, dont deux sont situées aux États-Unis et une aux Pays-Bas et une en Thaïlande.
À la lumière de l’exploitation active dans la nature, il est conseillé aux utilisateurs qui dépendent du logiciel d’appliquer les correctifs pour atténuer les menaces potentielles.
Ce n’est pas la première fois que des failles similaires sont découvertes dans CWP. En janvier 2022, deux problèmes critiques ont été identifiés dans le panneau d’hébergement qui auraient pu être militarisés pour obtenir une exécution de code à distance pré-authentifiée.
