Các nhà nghiên cứu phát hiện ra rằng bảng điều khiển lưu trữ web Control Web Panel (CWP) bị ảnh hưởng bởi hai lỗ hổng nghiêm trọng có thể cho phép những kẻ tấn công hack máy chủ từ xa và có thể chúng đã bị khai thác trong tự nhiên.
CWP, có cả phiên bản miễn phí và trả phí, là một bảng điều khiển Linux nâng cao được thiết kế cho các nhà cung cấp dịch vụ lưu trữ web và quản trị viên hệ thống.
Trong một bài đăng trên blog được xuất bản vào tuần trước, Octagon Networks, tự mô tả mình là một nhóm tin tặc và nhà nghiên cứu bảo mật toàn cầu, đã tiết lộ chi tiết về hai lỗ hổng có thể được xâu chuỗi để hack các máy chủ chạy CWP, từ xa từ internet và không có bất kỳ sự tương tác nào của người dùng.
Một trong những lỗ hổng là CVE-2021-45467, được mô tả là một vấn đề bao gồm tệp và lỗ hổng còn lại là CVE-2021-45466, một lỗ hổng ghi tệp. Việc xâu chuỗi hai lỗ hổng bảo mật có thể dẫn đến việc thực thi lệnh từ xa không được xác thực với các đặc quyền root.
Trong khi nhà phát triển của CWP cho biết trên trang web của họ rằng có 30,000 máy chủ đang chạy bảng điều khiển, các nhà nghiên cứu của Octagon lưu ý rằng các công cụ tìm kiếm internet Shodan và Censys hiển thị hơn 100,000 kết quả mỗi máy.
Theo bài đăng trên blog được xuất bản bởi Octagon, họ đã nhìn thấy dấu hiệu cho thấy ai đó đã quản lý để "đảo ngược bản vá và khai thác một số máy chủ."
Của Octagon Paulos Yibelo nói với Bảo mật rằng mặc dù họ không chắc liệu các lỗ hổng có trên thực tế đã bị khai thác hay không, nhưng điều đó là “có thể”.
Các nhà phát triển CWP đã vá các lỗ hổng bảo mật bằng cập nhật gần đây.
Ngoài bài đăng trên blog mô tả những phát hiện, Octagon đã phát hành một video hiển thị hoạt động khai thácvà họ cũng có kế hoạch công khai toàn bộ hoạt động khai thác bằng chứng khái niệm (PoC) sau khi quản trị viên có đủ thời gian để cài đặt các bản vá.
Liên quan: Máy chủ Apache ám ảnh lỗi rủi ro cao
Liên quan: Lỗ hổng máy chủ HTTP Apache đã vá gần đây bị khai thác trong các cuộc tấn công
- Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. TRUY CẬP MIỄN PHÍ.
- CryptoHawk. Radar Altcoin. Dùng thử miễn phí.
- Nguồn: https://www.securityweek.com/cwp-flaws-expose-servers-remote-attacks-possibly-exploited-wild