Falha já corrigida em sistema de gerenciamento de servidores é usada em ataques

Uma vulnerabilidade já corrigida no Control Web Panel (CWP), um sistema de gerenciamento de servidores, está sendo usada em ataques com execução remota de código e alto índice de periculosidade. Mesmo com atualização liberada em outubro, a brecha ainda aparece em mais de 400 mil infraestruturas espalhadas pelo mundo, todas suscetíveis aos golpes.

• Ransomware contra servidores Linux aumentou 75% em 2022
• Em 2023, atenção a ataques de extorsão e golpes em carteiras de criptomoedas

De acordo com um levantamento da empresa de segurança digital CloudSek, seriam mais de 435 mil instâncias vulneráveis a ataques por cibercriminosos. O Brasil aparece na 10ª posição entre os países com maior número de aberturas, um ranking que é liderado pelos Estados Unidos, Alemanha e França, de acordo com uma análise feita pela Fundação Shadowserver.

A vulnerabilidade, rastreada como CVE-2022-44877 foi descoberta por Numan Turle, da empresa Gais Cyber Security, e relatada aos responsáveis pelo CWP em outubro do ano passado. Como dito, uma atualização para o sistema de servidores veio no mesmo mês, com as provas de conceito sobre o ataques sendo divulgadas apenas agora, em 3 de janeiro.

Levou apenas três dias para que atacantes começassem a explorar a brecha, buscando sistemas ainda não atualizados para estabelecer sistemas de acesso remoto para execução de códigos maliciosos. Essa corrida que normalmente acontece após a divulgação de atualizações importantes demonstra um interesse em obter permanência nos sistemas que ainda estão vulneráveis, além de realizar ataques desde já.

Em alguns casos analisados pela Shadowserver, por exemplo, os criminosos foram capazes de executar um shell reverso para abrir terminais, de forma a executar códigos. Em outros, as atividades se resumiram apenas a localizar plataformas que poderiam ser comprometidas, podendo se tornar alvos de ataques em um momento posterior.

É um prognóstico grave para uma falha que, na ocasião de sua descoberta original, recebeu um índice de gravidade 9,8, de um total de 10. A possibilidade de execução remota de códigos sem nenhum tipo de autenticação pode permitir golpes que vão desde o comprometimento de dados e espionagem até ransomware, com o travamento completo de servidores em troca de resgate.

Por isso, a recomendação é que os administradores de servidores com CWP, anteriormente chamado de CentOS Web Panel, realizem a atualização urgente. A versão mais atual é a 0.9.8.1147, que resolve o problema em todas as versões do painel e pode ser aplicada em sistemas rodando qualquer iteração anterior do sistema.

Fonte: Bleeping Computer