Los actores de amenazas están abusando de una vulnerabilidad conocida en Control Web Panel (CWP) para iniciar shells inversos y ejecutar código malicioso de forma remota.
El investigador Numan Türle de Gais Cyber Security publicó un video de YouTube que muestra cómo se puede explotar la vulnerabilidad. Tres días después, los investigadores observaron un aumento en el abuso de la falla, que se rastrea como CVE-2022-44877 y tiene una puntuación de gravedad de 9,8/10: crítica.
La solución para la vulnerabilidad de la que se abusa se publicó a fines de octubre de 2022, pero desde que un investigador de seguridad publicó una prueba de concepto (PoC), los piratas informáticos aceleraron el ritmo.
caparazón inverso
La superficie de ataque potencial es bastante grande. CloudSek, que analizó el PoC, dice que ejecutar una búsqueda de servidores CWP en Shodan trae más de 400,000 instancias accesibles por Internet. Si bien no todos son obviamente vulnerables, muestra que la falla tiene un potencial bastante destructivo. Además, los investigadores de la Fundación Shadowserver afirman que todos los días aparecen unas 38.000 instancias de CWP.
Puntos finales (se abre en una pestaña nueva) que realmente son vulnerables están siendo explotados para generar una terminal de interacción, dicen los investigadores. Al iniciar un shell inverso, los piratas informáticos convertirían las cargas útiles codificadas en comandos de Python que llegarían a los dispositivos del atacante y generarían una terminal con el módulo pty de Python. Sin embargo, no todos los piratas informáticos son tan rápidos: algunos solo buscan máquinas vulnerables, posiblemente para prepararse para futuros ataques, especulan los investigadores.
Lo peor de abusar de CVE-2022-44877 en los ataques es que se ha vuelto muy fácil, especialmente después de que se hizo público el código de explotación. Todo lo que los piratas informáticos tienen que hacer ahora es encontrar objetivos vulnerables que, según la publicación, es una «tarea servil».
La versión 0.9.8.1147 de CWP, que soluciona este problema, se lanzó el 25 de octubre de 2022. Se insta a los administradores de TI a que apliquen esta corrección o, mejor aún, actualicen CWP a la versión actual de 0.9.8.1148, publicada a principios de diciembre.
Vía: BleepingComputer (se abre en una pestaña nueva)