Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Как уязвимость CyberPanel привела к массовой атаке вымогательского ПО

01/11/24

Apa-itu-CyberPanel

Более 22 000 серверов, использующих популярную платформу управления сайтами CyberPanel, недавно подверглись атаке с использованием критической уязвимости. Инцидент привёл к отключению почти всех уязвимых серверов и установке вымогательского ПО PSAUX.

Исследователь по безопасности DreyAnd обнаружил, что версии CyberPanel 2.3.6 и, вероятно, 2.3.7, содержат несколько серьёзных уязвимостей, которые позволяют удалённо выполнять код (RCE) с полными правами доступа к серверу. В числе уязвимостей — несовершенная система аутентификации, уязвимость к внедрению команд и обход фильтров безопасности, что позволяет злоумышленникам выполнять команды с правами root, пишет Securitylab.

По словам исследователя, обнаруженные уязвимости позволяют получать доступ к страницам без аутентификации и вводить вредоносные команды благодаря отсутствию надёжной фильтрации на некоторых маршрутах. DreyAnd создал демонстрационный эксплойт, показав, как можно захватить контроль над сервером с использованием найденных уязвимостей.

Исследователь уведомил разработчиков CyberPanel о проблеме 23 октября, и уже в тот же день был выпущен патч, исправляющий ошибки аутентификации. В течение получаса после получения отчёта создатель CyberPanel Усман Насир сообщил о выпуске версии 2.3.8, которая закрывает уязвимости. Команда разработчиков активно помогает пользователям в обновлении и решении вопросов, связанных с устранением последствий атаки.

Однако угроза всё ещё остаётся актуальной. По данным поисковой системы утечек LeakIX, более 22 000 необновлённых серверов были доступны в интернете на момент сообщения об уязвимости, из которых около 10 000 располагались в США. Вскоре после начала атак большинство этих серверов стали недоступны — предположительно, они были скомпрометированы и заражены PSAUX. На момент атаки через CyberPanel администрировались свыше 152 000 доменов и баз данных.

PSAUX представляет собой вредоносное ПО, предназначенное для шифрования файлов и вымогательства. Вредонос устанавливает уникальные ключи шифрования, которые сохраняются в системе, а к зашифрованным файлам добавляется расширение «.psaux». Для получения доступа к файлам жертвы видят записку с требованиями выкупа.

Исследователи проанализировали инструменты атакующих и обнаружили, что для взлома серверов злоумышленники использовали специальные скрипты — «ak47.py» для эксплуатации вышеупомянутой уязвимости, а также «actually.sh» для шифрования файлов. К счастью, благодаря ошибке в алгоритме шифрования экспертам удалось создать бесплатный дешифровщик.

На момент публикации также стало известно, что помимо PSAUX уязвимость в CyberPanel начали использовать ещё два типа вымогательского ПО, добавляя к зашифрованным файлам расширения «.locked» и «.encrypted».

Специалисты настоятельно рекомендуют как можно скорее обновить CyberPanel до последней версии, доступной на GitHub. Этот шаг поможет минимизировать риски и обезопасить данные от возможных угроз.

Темы:ПреступленияВымогатели
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...