Hatalmas kockázat: ingyenes, mégis veszélyes
A CWP egy ingyenes, Linux-alapú webszerver-adminisztrációs panel, amely a cPanel és a Plesk fizetős alternatívájaként terjedt el széles körben. Főként webhosztingszolgáltatók, rendszergazdák és VPS- vagy dedikált szervereket üzemeltetők használják. A most felfedezett sebezhetőség minden 0.9.8.1204 előtti CWP-verziót érint, különösen a CentOS 7 alatt futó rendszereken.
Ellentámadásra hív a CISA
A hibát a zsarolótámadások kivédésére létrehozott KEV-listára is felvették, és az amerikai szövetségi szervezeteknek november 25-ig kötelező frissíteniük az érintett termékeket, vagy megszüntetniük azok használatát. A sebezhetőséget még májusban jelentették, javítása június 18-án, a 0.9.8.1205 verzióban jelent meg.
Gyors javítás életet menthet
A támadás egy manipulált POST-kérésen keresztül hajtható végre, kihasználva a „changePerm” végpont hibáját, ahol a felhasználónév elhagyható, a fájlműveletekhez használt „t_total” paraméter pedig szűretlenül kerül a parancssorba. Itt tetszőleges parancs futtatható, például távoli hozzáférés kiépítésére.
Minden szervezetnek lépnie kell
Bár a CISA elsősorban az USA szövetségi intézményeinek ad iránymutatást, minden szervezet számára erősen ajánlott a KEV figyelése és a sebezhetőségek gyors kezelése, hogy megelőzzék a szerverek kompromittálását.
