01/11/24
Более 22 000 серверов, использующих популярную платформу управления сайтами CyberPanel, недавно подверглись атаке с использованием критической уязвимости. Инцидент привёл к отключению почти всех уязвимых серверов и установке вымогательского ПО PSAUX.
Исследователь по безопасности DreyAnd обнаружил, что версии CyberPanel 2.3.6 и, вероятно, 2.3.7, содержат несколько серьёзных уязвимостей, которые позволяют удалённо выполнять код (RCE) с полными правами доступа к серверу. В числе уязвимостей — несовершенная система аутентификации, уязвимость к внедрению команд и обход фильтров безопасности, что позволяет злоумышленникам выполнять команды с правами root, пишет Securitylab.
По словам исследователя, обнаруженные уязвимости позволяют получать доступ к страницам без аутентификации и вводить вредоносные команды благодаря отсутствию надёжной фильтрации на некоторых маршрутах. DreyAnd создал демонстрационный эксплойт, показав, как можно захватить контроль над сервером с использованием найденных уязвимостей.
Исследователь уведомил разработчиков CyberPanel о проблеме 23 октября, и уже в тот же день был выпущен патч, исправляющий ошибки аутентификации. В течение получаса после получения отчёта создатель CyberPanel Усман Насир сообщил о выпуске версии 2.3.8, которая закрывает уязвимости. Команда разработчиков активно помогает пользователям в обновлении и решении вопросов, связанных с устранением последствий атаки.
Однако угроза всё ещё остаётся актуальной. По данным поисковой системы утечек LeakIX, более 22 000 необновлённых серверов были доступны в интернете на момент сообщения об уязвимости, из которых около 10 000 располагались в США. Вскоре после начала атак большинство этих серверов стали недоступны — предположительно, они были скомпрометированы и заражены PSAUX. На момент атаки через CyberPanel администрировались свыше 152 000 доменов и баз данных.
PSAUX представляет собой вредоносное ПО, предназначенное для шифрования файлов и вымогательства. Вредонос устанавливает уникальные ключи шифрования, которые сохраняются в системе, а к зашифрованным файлам добавляется расширение «.psaux». Для получения доступа к файлам жертвы видят записку с требованиями выкупа.
Исследователи проанализировали инструменты атакующих и обнаружили, что для взлома серверов злоумышленники использовали специальные скрипты — «ak47.py» для эксплуатации вышеупомянутой уязвимости, а также «actually.sh» для шифрования файлов. К счастью, благодаря ошибке в алгоритме шифрования экспертам удалось создать бесплатный дешифровщик.
На момент публикации также стало известно, что помимо PSAUX уязвимость в CyberPanel начали использовать ещё два типа вымогательского ПО, добавляя к зашифрованным файлам расширения «.locked» и «.encrypted».
Специалисты настоятельно рекомендуют как можно скорее обновить CyberPanel до последней версии, доступной на GitHub. Этот шаг поможет минимизировать риски и обезопасить данные от возможных угроз.
