แฮ็กเกอร์ใช้ประโยชน์จากข้อบกพร่องของ Control Web Panel เพื่อทำ Reverse Shells

แฮ็กเกอร์กำลังโจมตีช่องโหว่สำคัญที่แพตช์ล่าสุดใน Control Web Panel (CWP) ซึ่งเป็นเครื่องมือสำหรับจัดการเซิร์ฟเวอร์ที่เดิมเรียกว่า CentOS Web Panel ปัญหาด้านความปลอดภัยถูกระบุว่าเป็น CVE-2022-44877 และได้รับคะแนนความรุนแรงขั้นวิกฤตที่ 9.8 เต็ม 10 เนื่องจากช่วยให้ผู้โจมตีเรียกใช้โค้ดจากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์ เมื่อวันที่ 3 มกราคม นักวิจัย Numan Türle จาก Gais Cyber Security ซึ่งรายงานปัญหานี้เมื่อประมาณเดือนตุลาคมปีที่แล้ว ได้เผยแพร่การใช้ประโยชน์จากหลักฐานพิสูจน์แนวคิด (PoC) และวิดีโอแสดงวิธีการทำงาน สามวันต่อมา นักวิจัยด้านความปลอดภัยสังเกตเห็นว่าแฮ็กเกอร์ใช้ประโยชน์จากข้อบกพร่องเพื่อเข้าถึงระบบที่ไม่ได้แพตช์จากระยะไกล และค้นหาเครื่องที่มีช่องโหว่มากขึ้น CWP เวอร์ชั่น 0.9.8.1147 เผยแพร่เมื่อวันที่ 25 ตุลาคม 2022 เพื่อแก้ไข CVE-2022-44877 ซึ่งส่งผลต่อแผงควบคุมเวอร์ชั่นก่อนหน้า การวิเคราะห์ทางเทคนิคของรหัสการหาประโยชน์จาก PoC มีให้บริการจาก CloudSek ซึ่งดำเนินการค้นหาเซิร์ฟเวอร์ CWP บนแพลตฟอร์ม Shodan และพบอินสแตนซ์ CWP มากกว่า 400,000 รายการที่เข้าถึงได้ทางอินเทอร์เน็ต

นักวิจัยจาก Shadowserver Foundation เฝ้าสังเกตการใช้ประโยชน์จากช่องโหว่ ทราบว่าการสแกนของพวกเขาเห็นอินสแตนซ์ CWP ประมาณ 38,000 รายการในทุกวัน กิจกรรมที่เป็นอันตรายที่บันทึกโดย Shadowserver และแชร์กับ BleepingComputer เปิดเผยว่าผู้โจมตีกำลังค้นหาโฮสต์ที่มีช่องโหว่และใช้ประโยชน์จาก CVE-2022-44877 ในการโจมตีบางครั้ง แฮ็กเกอร์ใช้ช่องโหว่เพื่อเริ่มการย้อนกลับของเชลล์ เพย์โหลดที่เข้ารหัสจะแปลงเป็นคำสั่ง Python ที่เรียกเครื่องของผู้โจมตีและวางเทอร์มินัลบนโฮสต์ที่มีช่องโหว่โดยใช้โมดูล Python pty บริษัทวิจัย GreyNoise ยังสังเกตเห็นการโจมตีหลายครั้งบนโฮสต์ CWP ที่ไม่ได้แพตช์จากที่อยู่ IP ในสหรัฐอเมริกา ไทย และเนเธอร์แลนด์ การใช้ประโยชน์จาก CVE-2022-44877 นั้นง่ายดาย ผู้ดูแลระบบควรดำเนินการทันทีและอัปเดต CWP เป็นเวอร์ชันล่าสุดที่มีอยู่ ซึ่งปัจจุบันคือ 0.9.8.1148 ที่เผยแพร่เมื่อวันที่ 1 ธันวาคม 2022