超过22,000个CyberPanel服务器因严重远程代码执行(RCE)漏洞暴露在线,遭PSAUX勒索软件攻击后中几乎全部下线。
CyberPanel漏洞披露
本周,安全研究员DreyAnd披露了CyberPanel 2.3.6(可能还有2.3.7)存在三个不同的安全问题,这些问题可以导致一个漏洞,允许未经认证的远程根访问。
具体来说,研究员在CyberPanel版本2.3.6中发现了以下问题:
1. 认证缺陷:CyberPanel对每个页面分别检查用户认证(登录),而不是使用一个中心系统,使得某些页面或路由(如‘upgrademysqlstatus’)不受未授权访问的保护。
2. 命令注入:在未受保护的页面上的用户输入没有得到正确清理,使得攻击者可以注入并执行任意系统命令。
3. 安全过滤器绕过:安全中间件只过滤POST请求,允许攻击者使用其他HTTP方法,如OPTIONS或PUT来绕过它。
使用root权限实现命令执行
来源:DreyAnd
研究员DreyAnd开发了一个概念验证漏洞程序,以演示在服务器上执行根级别的远程命令,使他能够完全控制服务器。
研究员表示,他们在2024年10月23日向CyberPanel开发者披露了这个漏洞,当天晚上就在GitHub上提交了修复认证问题的补丁。
CyberPanel的创建者Usman Nasir告诉BleepingComputer,2.3.8版本已经发布,并且在收到安全披露后的三十分钟内修复了漏洞。
CyberPanel还发布了关于漏洞和正在进行的攻击的安全警告,以及用户应该如何保护他们的系统。
被PSAUX勒索软件针对性攻击
10月28日,威胁情报搜索引擎LeakIX报告称,有21,761个易受攻击的CyberPanel实例暴露在线,其中近一半(10,170)在美国。
暴露的易受攻击实例的位置
来源:LeakIX |X
然而,一夜之间,受影响服务器数量神秘地下降到只有大约400个,LeakIX告诉BleepingComputer,受影响的服务器已经不可访问。
网络安全研究员Gi7w0rm在X上发推文称,这些服务器管理着超过152,000个域名和数据库,CyberPanel作为中央访问和管理系统。
LeakIX现在告诉BleepingComputer,威胁行为者大规模利用暴露的CyberPanel服务器安装PSAUX勒索软件。
PSAUX勒索软件行动自2024年6月以来一直在进行,通过漏洞和配置错误针对暴露的Web服务器。
PSAUX赎金票据
资料来源:LeakIX
在服务器上启动时,勒索软件将创建一个独特的AES密钥和IV,并使用它们来加密服务器上的文件。加密的文件将在文件名后附加.psaux扩展名。
勒索软件还会在每个文件夹中创建名为index.html的勒索信,并将勒索信复制到/etc/motd,以便在用户登录设备时显示。
完成后,AES密钥和IV将使用附带的RSA密钥加密并保存为/var/key.enc和/var/iv.enc。
LeakIX和Chocapikk获得了这次攻击中使用的脚本,其中包括一个名为ak47.py的脚本,用于利用CyberPanel漏洞,以及另一个名为actually.sh的脚本用于加密文件。
由于PSAUX勒索软件加密文件的方式存在缺陷,可以使用LeakIX创建的解密器免费解密文件。
需要注意的是,如果威胁行为者使用不同的加密密钥,那么使用错误的密钥解密可能会损坏您的数据。因此,在尝试使用此解密器之前,请务必先备份您的数据,以测试其是否有效。
在媒体报道后,LeakIX确定除了PSAUX勒索软件外,还安装了一个加密货币挖矿机,并且还有另外两个勒索软件行动针对这个漏洞,这些变体在加密文件的名称后分别附加了.locked或.encrypted扩展名。
由于CyberPanel漏洞被积极利用,强烈建议用户尽快升级到GitHub上的最新版本。
英国制裁3家俄罗斯公司,因进行“反乌”宣传行动
2024.10.30
黑莓公司宣布,在马来西亚建立亚太地区网络安全总部
2024.10.29
Redline、Meta信息窃取恶意软件被警方查获
2024.10.31
注:本文由E安全编译报道,转载请联系授权并注明来源。