CentOS Web Panel-bugg: Varför CISA varnar för aktiv exploatering

En kritisk bugg i CentOS Web Panel utnyttjas nu aktivt, vilket har lett till en ny varning från USA:s Cybersecurity and Infrastructure Security Agency. Angripare riktar in sig på exponerade servrar som kör äldre versioner av kontrollpanelen, som används i tusentals Linux-baserade webbhotellmiljöer. CISA lade till sårbarheten i sin katalog över kända exploaterade sårbarheter och uppmanar administratörer att uppdatera omedelbart.

Vad sårbarheten möjliggör

Säkerhetsforskare rapporterar att felet gör det möjligt att fjärrköra kod på drabbade system. Angripare skickar särskilt utformade förfrågningar som kringgår säkerhetskontroller i kontrollpanelen. När de får åtkomst kan de köra kommandon med höga privilegier och ta kontroll över servern.

Sårbarheten har fått en kritisk riskvärdering eftersom den ger angripare direkt tillgång till systemets kärnfunktioner. Lyckad exploatering gör det möjligt för intrångsförövare att:

• Installera bakdörrar
• Modifiera filer och databaser
• Stjäla autentiseringsuppgifter
• Distribuera ransomware
• Förflytta sig vidare i nätverket

Dessa möjligheter gör buggen särskilt farlig för hostingleverantörer och administratörer som använder CentOS Web Panel (CWP).

Angrepp har redan observerats i praktiken

Flera säkerhetsteam bekräftar att hotaktörer redan utnyttjar sårbarheten. Angripare skannar internet efter system som saknar patchar och använder automatiserade verktyg för att kompromettera dem. Loggar som forskare samlat in visar en våg av förfrågningar som försöker trigga sårbarheten.

Vissa servrar utsattes för obehörig kommandoexekvering inom några minuter efter exponering. I flera fall upptäckte administratörer ovanliga processer, nya användarkonton och skadliga skript som lagts till i systemet. Dessa tecken tyder på samordnade attacker från grupper som aktivt bevakar nyligen avslöjade sårbarheter.

Varför CISA utfärdade en akut varning

CISA lägger endast till sårbarheter i sin katalog när det finns verifierad bevisning för aktiv exploatering. När en sårbarhet listas måste alla amerikanska federala myndigheter patcha före det utsatta datumet. Myndigheten uppmanar även privata organisationer att följa samma krav på grund av risken för fullständig systemkompromettering.

CISA betonar att ouppdaterade CWP-system är högt prioriterade mål. Webbhotellsservrar lagrar känslig kunddata, API-nycklar, konfigurationsfiler och driftuppgifter. När angripare får kontroll över en server kan de ofta röra sig vidare till andra delar av nätverket.

Patchar och rekommenderade åtgärder

CWP-teamet har släppt en uppdaterad version och uppmanar administratörer att uppdatera omedelbart. Kontrollpanelen uppdateras inte automatiskt, vilket innebär att många installationer ligger efter. Administratörer bör kontrollera versionsnumret, tillämpa patchar och granska loggar för misstänkt aktivitet.

Rekommenderade åtgärder inkluderar:

• Uppdatering till senaste CWP-version
• Byte av autentiseringsuppgifter som används i systemet
• Genomgång av loggar för ovanliga inloggningsförsök
• Blockering av onödig extern åtkomst till panelen
• Aktivering av brandväggsregler och intrångsdetektering

Dessa steg minskar exponeringen och begränsar risken för ytterligare intrång.

Slutsats

Buggen i CentOS Web Panel utgör ett allvarligt hot mot organisationer som driver Linux-baserade hostingmiljöer. Angripare utnyttjar redan sårbarheten för att få full kontroll över oskyddade servrar. CISAs varning understryker behovet av snabba patchar, starkare åtkomstkontroller och kontinuerlig övervakning. Administratörer måste uppdatera omedelbart och verifiera systemens integritet för att undvika fortsatt exploatering.