Cyber-Attacken hinauf kritische Lücke in Control Web Panel
[ad_1]
Eine kritische Sicherheitslücke klafft noch in diversen Control-Web-Panel-(CWP)-Instanzen, früher denn CentOS Web Panel vertraut. Die vergewaltigen Cyberkriminelle seitdem Kurzem, um in verwundbare Systeme einzudringen und eigenen Schadcode auszuführen. Control Web Panel ist eine nicht zuletzt kostenlos verfügbare Oberfläche zur Verwaltung von gehosteten Webseiten. CWP-Administrierende sollten die bereitstehenden Aktualisierungen zügig anwenden.
Die Sicherheitslücke betrifft die File login/index.php von Control Web Panel. Sie ermöglicht Angreifern aus dem Netzwerk ohne vorherige Identitätsprüfung, mit präparierten Log-in-Parametern, die Shell-Meta-Zeichen enthalten, irgendwelche Befehle an dasjenige operating system (in welcher Regel CentOS Linux) zu schleusen (CVE-2022-44877, CVSS 9.8, Risiko “unbequem“).
CWP: Lücke abgedichtet, Exploit veröffentlicht
Die CWP-Entwickler nach sich ziehen die Schwachstelle mit Version 0.9.8.11.47 am 25. zehnter Monat des Jahres vergangenen Jahres geschlossen. Entstehen dieses Jahres hat Numan Türle von Gais Security vereinigen Exploit hinauf einschlägigen IT-Sicherheit-Mailinglisten veröffentlicht, welcher denn Proof-of-Concept die Sicherheitslücke vorführt.
Den Programmcode nach sich ziehen Cyberkriminelle offenbar zügig in ihren Exploit-Baukasten aufgenommen. Jetzt sehen IT-Sicherheitsforscher schon erfolgreiche Angriffe hinauf Control-Web-Panel-Instanzen.
Administratorinnen und Administratoren von Control-Web-Panel-Instanzen sollten von dort zügig die bereitstehende aktuelle Version – zum Meldungszeitpunkt Halterung 0.9.8.11.48 vom 12. Januar 2023 – welcher Software herunterladen und installieren. Andernfalls laufen sie Gefahr, dass ihre Systeme oder gar Netze von Cyberkriminellen kompromittiert werden.
(dmk)