Mais de 22.000 instâncias do CyberPanel expostas online a uma vulnerabilidade crítica de execução remota de código (RCE) foram visadas em massa em um ataque de ransomware PSAUX, que levou quase todas as instâncias offline.
Nesta semana, o pesquisador de segurança DreyAnd divulgou que o CyberPanel 2.3.6 (e provavelmente 2.3.7) sofre de três problemas de segurança distintos que podem resultar em um exploit permitindo acesso remoto root não autenticado sem autenticação.
Especificamente, o pesquisador descobriu os seguintes problemas na versão 2.3.6 do CyberPanel:
Falha na autenticação: o CyberPanel verifica a autenticação do usuário (login) em cada página separadamente, em vez de usar um sistema central, deixando certas páginas ou rotas, como 'upgrademysqlstatus', desprotegidas contra acesso não autorizado.
Injeção de comando: Entradas de usuários em páginas desprotegidas não são devidamente sanitizadas, permitindo que atacantes injetem e executem comandos de sistema arbitrários.
Bypass de filtro de segurança: O middleware de segurança filtra apenas requisições POST, permitindo que atacantes o contornem usando outros métodos HTTP, como OPTIONS ou PUT.
O pesquisador, DreyAnd, desenvolveu um exploit de prova de conceito para demonstrar execução de comando remoto em nível de root no servidor, permitindo a ele assumir o controle completo do servidor.
DreyAnd informou que só conseguiu testar o exploit na versão 2.3.6, pois ele não teve acesso à versão 2.3.7 naquele momento.
Contudo, como a 2.3.7 foi lançada em 19 de setembro, antes de o bug ser encontrado, é provável que também tenha sido afetada.
O pesquisador disse que divulgou a falha aos desenvolvedores do CyberPanel em 23 de outubro de 2024, e uma correção para o problema de autenticação foi submetida naquela noite no GitHub.
Enquanto qualquer pessoa que instale o CyberPanel do GitHub ou pelo processo de upgrade receberá a correção de segurança, os desenvolvedores não lançaram uma nova versão do software ou emitiram um CVE.
Ontem, o motor de busca de inteligência de ameaças LeakIX reportou que 21.761 instâncias vulneráveis do CyberPanel estavam expostas online, e quase a metade (10.170) estava nos Estados Unidos.
No entanto, durante a noite, o número de instâncias misteriosamente caiu para apenas cerca de 400 instâncias, com a LeakIX informando que os servidores impactados não estão mais acessíveis.
O pesquisador de cibersegurança Gi7w0rm tweetou no X que essas instâncias gerenciavam mais de 152.000 domínios e bancos de dados, para os quais o CyberPanel atuava como o sistema central de acesso e gerenciamento.
A LeakIX agora informou que atores de ameaças exploraram em massa os servidores CyberPanel expostos para instalar o ransomware PSAUX.
A operação do ransomware PSAUX existe desde junho de 2024 e visa servidores web expostos através de vulnerabilidades e configurações incorretas.
Quando lançado em um servidor, o ransomware criará uma chave AES única e IV e usará eles para criptografar os arquivos no servidor.
O ransomware também criará notas de resgate nomeadas index.html em cada pasta e copiará a nota de resgate para /etc/motd, para que seja mostrada quando um usuário faz login no dispositivo.
Quando terminado, a chave AES e IV são criptografadas usando uma chave RSA anexada e salvas como /var/key.enc e /var/iv.enc.
LeakIX e Chocapikk obtiveram os scripts usados neste ataque, que incluem um script ak47.py para explorar a vulnerabilidade do CyberPanel e outro script chamado actually.sh para criptografar os arquivos.
No entanto, uma fraqueza foi encontrada que pode permitir a descriptografia dos arquivos gratuitamente, com pesquisadores atualmente investigando se isso é possível.
Devido à exploração ativa da falha do CyberPanel, é fortemente aconselhado que os usuários atualizem para a última versão no GitHub o mais rápido possível.
Atualização 10/29/24: A LeakIX lançou um descriptografador que pode ser usado para descriptografar arquivos criptografados nesta campanha.
Deve-se notar que, se o ator de ameaça utilizou diferentes chaves de criptografia, então descriptografar com a chave errada poderia corromper seus dados.
Portanto, certifique-se de fazer um backup de seus dados antes de tentar usar este descriptografador para primeiro testar se funciona.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...