Исследователи обнаружили в сети более 22 000 экземпляров CyberPanel, подверженных критической RCE-уязвимости. Однако хакеры тоже это заметили, и серверы уже подверглись массовой атаке вымогателя PSAUX, в результате которой почти все экземпляры оказались выведены из строя.
Как сообщает издание Bleeping Computer, ранее на этой неделе исследователь под ником DreyAnd предупредил о том, что CyberPanel версии 2.3.6 (и, вероятно, 2.3.7) уязвима перед тремя различными проблемами, которые в итоге позволяют атакующему получить удаленный root-доступ без аутентификации.
- Некорректная аутентификация: CyberPanel проверяет аутентификацию пользователя (логин) на каждой странице отдельно, вместо использования централизованной системы. В результате некоторые страницы и маршруты, например upgradeemysqlstatus, остаются незащищенными от несанкционированного доступа.
- Инъекция команд: вводимые пользователем данные на незащищенных страницах не проверяются должным образом, что позволяет злоумышленникам внедрять и выполнять произвольные команды.
- Обход защитного фильтра: защитное промежуточное ПО фильтрует только POST-запросы, что позволяет злоумышленникам обойти его, используя другие методы, например OPTIONS или PUT.
Также DreyAnd создал PoC-эксплоит для демонстрации удаленного выполнения команд на уровне root, что позволяло получить полный контроль над сервером. Специалист рассказал изданию, что протестировал свой эксплоит только в версии 2.3.6, так у него не было доступа к версии 2.3.7. Учитывая, что версия 2.3.7 была выпущена 19 сентября (до того, как была обнаружена уязвимость), предполагается, что она тоже уязвима.
Исследователь рассказывает, что 23 октября уведомил о своих находках разработчиков CyberPanel, и вечером того же дня на GitHub было представлено исправление для проблемы с аутентификацией.
Создатель CyberPanel Усман Насир (Usman Nasir) подтвердил журналистам, что ошибка действительно устранена в версии 2.3.8. По его словам, в последние дни разработчики CyberPanel были слишком заняты, помогая людям с обновлением и взломами, поэтому еще не успели подготовить журнал изменений.
Но хакеры тоже обратили внимание на проблемы CyberPanel. Так, специалисты сервиса LeakIX предупредили, что в сети можно обнаружить 21 761 уязвимый экземпляр CyberPanel, и почти половина из них (10 170) находится в США.
Спустя всего полдня после этой публикации количество доступных в сети экземпляров резко сократилось до 400, а представители LeakIX сообщили журналистам, что пропавшие серверы пострадали от хакерской атаки. Отмечается, что, по данным ИБ-исследователя Gi7w0rm, эти экземпляры управляли более чем 152 000 доменов и баз данных, для которых CyberPanel являлась центральной системой доступа и управления.
Злоумышленники массово атаковали уязвимые серверы CyberPanel и развернули на них вымогатель PSAUX. Эта малварь активна с июня 2024 года и обычно взламывает доступные через интернет веб-серверы, эксплуатируя различные уязвимости или неправильные конфигурации.
Bleeping Computer рассказывает, что малварь создает уникальный ключ AES и IV, а затем использует их для шифрования файлов на сервере. После завершения работы ключ AES и IV шифруются с помощью закрытого ключа RSA и сохраняются в файлах /var/key.enc и /var/iv.enc.
Исследователям удалось получить скрипты, использованные в этой атаке: скрипт ak47.py для эксплуатации уязвимости в CyberPanel и второй скрипт actually.sh для шифрования файлов. Это помогло специалистам выявить некую проблему в малвари. Благодаря этому в LeakIX уже создали дешифровщик, который можно использовать для бесплатного восстановления данных, пострадавших в результате атак.
Однако отмечается, что если злоумышленник использовал разные ключи шифрования, расшифровка с помощью неправильного ключа может привести к повреждению данных. Поэтому перед использованием инструмента лучше сделать резервную копию данных.
В связи с массовой эксплуатацией уязвимости в CyberPanel пользователям настоятельно рекомендуется как можно скорее обновиться до последней версии.
