Peretas jahat telah mulai mengeksploitasi kerentanan kritis dalam versi Panel Web Kontrol yang belum ditambal, antarmuka yang banyak digunakan untuk hosting web.
“Ini adalah RCE yang tidak diautentikasi,” tulis anggota grup Shadowserver di Twitter, menggunakan singkatan untuk eksploitasi kode jarak jauh. “Eksploitasi itu sepele dan PoC diterbitkan.” PoC mengacu pada kode proof-of-concept yang mengeksploitasi kerentanan.
Kerentanan dilacak sebagai CVE-2022-44877. Ditemukan oleh Numan Türle dari Gais Cyber Security dan ditambal pada bulan Oktober dalam versi 0.9.8.1147. Penasihat tidak dipublikasikan sampai awal bulan ini, namun, kemungkinan besar beberapa pengguna masih tidak menyadari ancaman tersebut.
Angka yang diberikan oleh perusahaan Keamanan GreyNoise menunjukkan bahwa serangan dimulai pada 7 Januari dan perlahan meningkat sejak saat itu, dengan putaran terbaru berlanjut hingga Rabu. Perusahaan mengatakan eksploit berasal dari empat alamat IP terpisah yang berlokasi di AS, Belanda, dan Thailand.
Shadowserver menunjukkan bahwa ada sekitar 38.000 alamat IP yang menjalankan Panel Web Kontrol, dengan konsentrasi tertinggi di Eropa, diikuti oleh Amerika Utara dan Asia.
Peringkat keparahan untuk CVE-2022-44877 adalah 9,8 dari kemungkinan 10. “Perintah Bash dapat dijalankan karena tanda kutip ganda digunakan untuk mencatat entri yang salah ke sistem,” kata penasehat untuk kerentanan. Akibatnya, peretas yang tidak diautentikasi dapat menjalankan perintah jahat selama proses login. Video berikut menunjukkan aliran eksploit.
Selengkapnya: ars TECHNICA
