Exploited Control Web Panel Flaw Added to CISA ‘Must-Patch’ List
2023/01/18 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、広く使われている CentOS Control Web Panel の深刻な脆弱性 CVE-2022-44877 を、KEV(Known Exploited Vulnerabilities)カタログに追加し、連邦機関に対して2月初旬までに修正するよう指示している。
今月の初めに、セキュリティ研究者たちは、この脆弱性に関する PoC エクスプロイト・コードと、YouTube 動画によるデモを公開し、攻撃につながると警告していた。その直後に、GreyNoise と Shadowserver の脅威探知により、実際に悪用形跡が発見されている。
CISA は KEV カタログの更新と同時に、「この種の脆弱性は、脅威アクターたちが頻繁に悪用する攻撃ベクターであり、連邦政府企業にとって重大なリスクとなる」と、注意事項で警告している。
以前には CentOS Web Panel と呼ばれていた、CWP Control Web Panel ユーティリティは、エンタープライズ・ベースの Linux システム用として人気の、無料で提供される Web ホスティング・パネルであり、サーバとクライアントの管理と、セキュリティ・サポート機能を提供している。
このバグについては、OS コマンド・インジェクションの脆弱性と説明されており、ログイン・パラメーター内のシェル・メタ・キャラクタを介して、リモート攻撃者にコマンド実行を許すものである。この脆弱性の CVSS スコア 9.8 であり、その悪用は容易だとされている。
CWP7 バージョン 0.9.8.1147 には、この CVE-2022-44877 に対するパッチが含まれている。CWP ユーザーに対しては、可能な限り早急に、新たなバージョンの管理パネルへの更新が推奨される。
この問題については、2023/01/12 の「Control Web Panel の深刻な脆弱性 CVE-2022-44877:RCE が容易に生じる」で、すでにお伝えしています。それから1週間も経たない 2023/01/17 に、CISA KEV に追加されたのは、連邦政府の組織内で広範に利用され、また、依存度も高いということなのでしょう。この脆弱性の深刻度は高く、その悪用も容易とのことです。ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.