Posté le janvier 12, 2023 à 8:37

DES HACKERS EXPLOITENT UNE FAILLE DE PANNEAU DE CONTRÔLE D’HÉBERGEMENT WEB AVEC UN SCORE DE GRAVITÉ DE 9,8 SUR 10

Des hackers ont exploité une faille critique récemment corrigée dans le panneau de contrôle d’hébergement Web. La faille de sécurité identifiée comme CVE-2022-44877 a reçu un score de gravité critique de 9,8 sur 10. Cette faille permet à un hacker d’exécuter un code à distance sans disposer de l’authentification nécessaire.

Des hackers exploitent une faille dans le panneau de contrôle d’hébergement Web

La faille de sécurité a été détectée grâce au monitoring mis en place via l’outil français WebMonitor sur le panneau de contrôle d’hébergement Web ou Control Web Panel (CWP). Le CWP est un outil qui est utilisé pour gérer les serveurs. Cet outil était auparavant connu sous le nom de CentOS Web Panel avant d’être rebaptisé sous son nom actuel.

La faille de sécurité a été révélée par le chercheur Numan Turle de la société Gais Cyber Security. Turle a signalé ce problème en octobre 2022, et il a ensuite publié un exploit de preuve de concept accompagné d’une vidéo illustrant le fonctionnement de cet exploit et la menace qu’il représente.

Trois jours après la publication de l’exploit PoC et d’une vidéo montrant comment l’exploiter, des chercheurs en cybersécurité ont constaté que des hackers exploitaient la vulnérabilité pour obtenir un accès à distance aux systèmes qui n’avaient pas encore été corrigés. Les hackers ont également découvert d’autres dispositifs vulnérables à exploiter.

La version 0.9.8.1147 du CWP a été publiée le 25 octobre de l’année dernière et a corrigé la vulnérabilité qui aurait pu compromettre les utilisateurs. La faille ne peut être exploitée que dans les anciennes versions du panneau, les utilisateurs qui ont déjà effectué la mise à niveau vers la version récente étant protégés de cette vulnérabilité.

Une analyse technique du code d’exploitation PoC publié par CloudSek a permis de détecter que les hackers avaient exploité un nombre important de dispositifs. L’analyse de ce code a permis d’effectuer une recherche sur les serveurs CWP qui fonctionnent sur la plateforme Shodan. Cette recherche a permis de détecter plus de 400 000 cas d’exploitation et d’accès au CWP sur Internet.

La Fondation Shadowserver a par ailleurs mené des recherches sur cette vulnérabilité. Les chercheurs de cette société ont détecté que cette vulnérabilité était exploitée, et ils ont constaté que leurs scans avaient vu environ 38 000 instances de CWP se produire quotidiennement. Ce chiffre n’indique pas les machines vulnérables à l’exploit mais le nombre de personnes détectées par la plateforme.

L’exploitation poussée de cette vulnérabilité par les hackers montre qu’il est possible que la violation soit étendue aux utilisateurs qui n’ont pas encore effectué la mise à niveau vers la dernière version. Cela montre également que la majorité de la population utilise encore l’ancienne version du CWP.

Shadowserver a en outre enregistré l’activité malveillante menée par le biais de ces exploits. Cette activité malveillante a montré que les hackers recherchaient des hôtes vulnérables et exploitaient la faille pour détecter un terminal permettant d’interagir avec le dispositif vulnérable.

Les hackers utilisent l’exploit pour lancer un reverse shell

Dans certaines de ces attaques, les hackers ont utilisé la vulnérabilité pour lancer un reverse shell. Les hackers ont converti les charges utiles intégrées en commandes Python. Ces commandes sont acheminées vers la machine du hacker afin de relier un terminal sur l’hôte vulnérable. Les hackers effectuent cette action par le biais du module Python pty.

Les autres exploits réalisés à l’aide de cette faille visaient à identifier les appareils vulnérables. Il reste à déterminer si les manœuvres frauduleuses ont été menées par des hackers cherchant à savoir si la faille avait été exploitée ou par des hackers cherchant à identifier les machines pouvant être exploitées à l’aide de cette faille.

Il semble que les tentatives d’exploitation de la vulnérabilité dépendaient du PoC original que Numan Turle a réalisé. Le PoC a été légèrement modifié pour répondre aux besoins de l’attaquant.

La société de recherche GreyNoise a également détecté d’autres attaques sur des hôtes CWP non corrigés utilisant des adresses IP aux Pays-Bas, en Thaïlande et aux États-Unis. Cela a montré que les attaquants ciblaient des machines exploitées au niveau mondial par des utilisateurs utilisant une ancienne version de CWP.

L’un des facteurs qui pourraient être attribués au grand nombre d’attaques menées en exploitant cette vulnérabilité est que l’exploitation de la faille est facile. Le code d’exploitation a déjà été rendu public. Par conséquent, le seul travail qu’un acteur de la menace doit faire est de trouver la cible vulnérable, ce qui est une tâche facile.

Les administrateurs peuvent uniquement prendre des mesures pour se protéger de cette violation en mettant à jour le CWP à la dernière version disponible. La version mise à jour est la 0.9.8.1148, publiée le 1er décembre 2022.

Summary

Article Name

DES HACKERS EXPLOITENT UNE FAILLE DE PANNEAU DE CONTRÔLE D'HÉBERGEMENT WEB AVEC UN SCORE DE GRAVITÉ DE 9,8 SUR 10

Description

Des hackers ont exploité une faille critique récemment corrigée dans le panneau de contrôle d'hébergement Web. La faille de sécurité identifiée comme CVE-2022-44877 a reçu un score de gravité critique de 9,8 sur 10. Cette faille permet à un hacker d'exécuter un code à distance sans disposer de l'authentification nécessaire.

Author

Marie Lagacé

Publisher Name

Koddos

Publisher Logo

Partagez :

Actualités connexes :

Août 30, 2023

MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS

Août 29, 2023

DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE