Beispielcode für schwerwiegende Sicherheitslücke in Control Web Panel veröffentlicht

Die Anfälligkeit ist im zehnstufigen CVSS mit 9,8 Punkten bewertet. Hacker nutzen den Beispielcode nun für Angriffe auf Control Web Panel. Sie sind in der Lage, Schadcode aus der Ferne auszuführen.

Nachdem Anfang Januar Beispielcode für eine schwerwiegende Sicherheitslücke in Control Web Panel (CWP) veröffentlicht wurde, melden Sicherheitsforscher nun erste Versuche, die Schwachstelle für Hackerangriffe auszunutzen. Wie SecurityWeek berichtet, erlaubt die mit einem CVSS-Score von 9,8 bewertete Anfälligkeit das Einschleusen und Ausführen von Schadcode aus der Ferne.

CWP, früher CentOS Web Panel, ist ein kostenloses Web Hosting Panel für Enterprise-Linux-Systeme, mit dem sich Server und Clients verwalten und absichern lassen. Bei dem Fehler handelt es sich um eine Fehlkonfiguration in einer Funktion, die falsche Eingaben aufzeichnet. Dadurch ist es möglich, Befehle auf einem Server auszuführen.

Beispielcode mit Video seit 3. Januar verfügbar

Laut einer Warnmeldung des NIST ist CWP7 vor der Verion 0.9.8.1147 betroffen. Patches für das Admin – und das User-Panel von CWP stehen seit Oktober 2022 zur Verfügung.

Der Beispielcode sowie ein Video, dass eine Ausnutzung des Bugs zeigt, ist seit 3. Januar verfügbar. Angriffe auf CWP melden dem Bericht zufolge inzwischen der Sicherheitsanbieter GreyNoise sowie die Nonprofit-Organisation Shadowserver Foundation.

Shadowserver beobachtet derzeit rund 38.000 CWP-Instanzen täglich, die mit dem Internet verbunden sind. Laut CloudSEK liefert eine Anfrage bei der Gerätesuchmaschien Shodan rund 400.000 CWP-Instanzen.

Themenseiten: Security, Server, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Beispielcode für schwerwiegende Sicherheitslücke in Control Web Panel veröffentlicht

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *