Onderzoekers ontdekten dat het webhostingpaneel van het Control Web Panel (CWP) wordt getroffen door twee ernstige kwetsbaarheden waarmee aanvallers op afstand servers kunnen hacken, en het is mogelijk dat ze al in het wild zijn uitgebuit.
CWP, dat zowel gratis als betaalde versies heeft, is een geavanceerd Linux-configuratiescherm dat is ontworpen voor webhostingproviders en systeembeheerders.
In een vorige week gepubliceerde blogpost heeft Octagon Networks, dat zichzelf omschrijft als een wereldwijd team van hackers en beveiligingsonderzoekers, de details bekendgemaakt van twee kwetsbaarheden die kunnen worden geketend om servers met CWP te hacken, op afstand vanaf internet en zonder enige gebruikersinteractie.
Een van de kwetsbaarheden is CVE-2021-45467, beschreven als een probleem met het opnemen van bestanden, en de andere is CVE-2021-45466, een fout bij het schrijven van bestanden. Het koppelen van de twee beveiligingslekken kan leiden tot niet-geverifieerde uitvoering van externe opdrachten met rootrechten.
Terwijl de ontwikkelaar van CWP op zijn website zegt dat er 30,000 servers zijn waarop het controlepaneel draait, merkten Octagon-onderzoekers op dat de Shodan- en Censys-internetzoekmachines elk meer dan 100,000 resultaten laten zien.
Volgens de blogpost gepubliceerd door Octagon, hebben ze aanwijzingen gezien dat iemand erin is geslaagd "de patch ongedaan te maken en sommige servers te exploiteren".
Octagon's Paulo Yibelo vertelde SecurityWeek dat hoewel ze niet zeker weten of de kwetsbaarheden daadwerkelijk zijn uitgebuit, het "mogelijk" is.
CWP-ontwikkelaars hebben de kwetsbaarheden gepatcht met recente updates.
Naast de blogpost de bevindingen beschrijven, Octagon heeft een video die de exploit in actie laat zien, en ze zijn ook van plan om een volledige proof-of-concept (PoC) exploit openbaar te maken nadat beheerders genoeg tijd hebben gehad om de patches te installeren.
Zie ook: Risicovolle fout achtervolgt Apache-server
Zie ook: Onlangs gepatchte Apache HTTP-server-kwetsbaarheid misbruikt bij aanvallen
Eduard Kovacs (@EduardKovacs) is een bijdragende redacteur bij SecurityWeek. Hij werkte twee jaar als IT-docent op een middelbare school voordat hij een carrière in de journalistiek begon als Softpedia's beveiligingsjournaalverslaggever. Eduard heeft een bachelordiploma in industriële informatica en een masterdiploma in computertechnieken toegepast in elektrotechniek.
Tags:
