Стабильная версия CyberPanel подверглась массированной атаке вируса-вымогателя PSAUX. Инцидент стал возможен из-за критической RCE-уязвимости; из 22 тысяч уязвимых экземпляров CyberPanel почти все были отключены.
О существовании уязвимости стало известно из сообщения исследователя под ником DreyAnd: он обнаружил в стабильной версии CyberPanel 2.3.6 три проблемы, которые можно использовать для удалённого root-входа без аутентификации. Новейшая версия 2.3.7 вышла 19 сентября, то есть до обнаружения уязвимости, и предполагается, что она может иметь те же проблемы безопасности.
В частности, были обнаружены следующие проблемы:
- Баг в системе аутентификации: CyberPanel проводит аутентификацию для каждой отдельной страницы, при этом некоторые из них остались незащищёнными.
- Недостаточная проверка команд, введённых на незащищённых страницах.
- Возможность обойти фильтр безопасности: он фильтрует POST-запросы, но не проверяет OPTIONS или PUT.
Хостинг от AdminVPS — это защита от DDoS-атак на каждом тарифе, а также:
- бесплатное администрирование,
- ежедневный бекап,
- SSL в подарок,
- доступная цена.
Чтобы продемонстрировать уязвимости, DreyAnd разработал экспериментальный эксплойт, с помощью которого ему удалось получить полный контроль над сервером.
Разработчики CyberPanel узнали об уязвимости 23 октября, в этот же день была выпущена версия 2.3.8 с исправлениями безопасности. Кроме того, команда CyberPanel опубликовала инструкцию по обновлению до последней безопасной версии и рекомендации по безопасности в связи с продолжающимися атаками.
Однако злоумышленники также заметили уязвимость CyberPanel: 28 октября сервис по обнаружению угроз LeakIX сообщил о 21 761 уязвимых экземплярах CyberPanel, почти половина из них, более 10 тыс., находились в США, более 3 тыс. — в Германии, и почти 2 тыс.— в Сингапуре. Однако к утру 29 октября большинство выявленных серверов стали недоступны, поэтому формально их число сократилось до 400. Специалисты LeakIX сообщили, что недоступные серверы подверглись атаке и были выведены из строя, атакованные серверы хакеры использовали для установки вируса-вымогателя PSAUX.
PSAUX известен с июня 2024 года, при запуске на веб-сервере он шифрует все файлы (они получают расширение .psaux) и создаёт в каждом каталоге файл index.html с требованием выкупа.
Однако оказалось, что скрипты, которыми пользовались злоумышленники, также имеют собственные уязвимости — благодаря этому LeakIX удалось создать дешифратор. Команда LeakIX распространяет его бесплатно и выложила для свободного скачивания на GitHub. Разработчики дешифратора предупреждают, что хакеры могли использовать несколько ключей шифрования, в таком случае попытка расшифровки приведёт к потере данных, поэтому рекомендуется создать резервную копию, прежде чем приступать к восстановлению данных.
30 октября стало известно, что вместе с PSAUX хакеры устанавливали криптомайнер и пару других вирусов, также шифрующих данные и создающих файлы с расширением .locked и .encrypted.
В связи с активной эксплуатацией уязвимости разработчики CyberPanel рекомендуют как можно скорее установить версию 2.3.8 с исправлениями безопасности.
Читайте в блоге: