นักวิจัยจาก Gais Cyber Security ได้เผยแพร่รายงานที่พบว่า ขณะนี้กลุ่ม Hackers ได้มุ่งเป้าหมายในการโจมตีไปยัง Control Web Panel (CWP) หรือที่รู้จักกันในชื่อ CentOS Web Panel ที่มีช่องโหว่หมายเลข CVE-2022-44877
CVE-2022-44877 (คะแนน CVSS 9.8/10 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ของ Control Web Panel (CWP) หรือ CentOS Web Panel ที่สามารถถูกใช้เพื่อหลีกเลี่ยงการตรวจจับ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) โดยช่องโหว่ถูกพบครั้งแรกในช่วงเดือนตุลาคม 2022 หลังจากนั้น CWP ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ออกมาในเดือนธันวาคม 2022
โดยหลังจากที่นักวิจัยได้มีการเผยแพร่ proof-of-concept (PoC) การสาธิตกระบวนการโจมตี และการทำงาน ภายหลังจากนั้นก็พบว่ามีกลุ่ม Hackers ได้เริ่มค้นหาเครื่องที่ยังไม่ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่ และมีการนำช่องโหว่ CWP มาใช้ในการโจมตีเหยื่อเพิ่มมากขึ้น
โดย Hackers จะใช้ช่องโหว่ CVE-2022-44877 เพื่อทำการติดตั้ง Reverse Shell และดาวน์โหลดเพย์โหลดที่เป็นอันตราย ซึ่งเป็นคำสั่ง Python pty ในการสร้าง terminal เพื่อสั่งการจากระยะไกล
จากการค้นหา CWP ที่มีช่องโหว่จาก Shodan พบว่ามี CWP มากถึง 400,000 รายการที่สามารถเข้าถึงได้ทางอินเทอร์เน็ต รวมไปถึงจากการตรวจสอบของ Shadowserver Foundation หน่วยงานด้านความปลอดภัยซึ่งได้ตรวจสอบการโจมตีพบว่า จากการแสกนเพื่อตรวจสอบหา CWP ที่มีช่องโหว่ พบ CWP ประมาณ 38,000 รายการทุกวัน ซึ่งไม่ใช่เฉพาะ CWP ที่มีช่องโหว่ แต่เป็น CWP ทั้งหมดที่ค้นพบ รวมถึงในประเทศไทยจำนวน 166 รายการ
นอกจากนี้ทาง GreyNoise ยังได้ติดตามการโจมตีระบบ CWP ที่มีช่องโหว่ พบว่าเป็น IP ที่อยู่ในสหรัฐอเมริกา เนเธอร์แลนด์ รวมถึงไทยอีกด้วย
CWP ที่ได้รับผลกระทบ
- CWP ที่มีเวอร์ชันต่ำกว่า 0.9.8.1148
วิธีแก้ไข
- ผู้ดูแลระบบควรทำการอัปเดต CWP เพื่อป้องกันความเสี่ยงจากการถูกโจมตีโดยเร็วที่สุด
ที่มา : bleepingcomputer
You must be logged in to post a comment.