Новости 22 000 серверов под угрозой: как уязвимость CyberPanel привела к массовой атаке вымогательского ПО

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Данные пользователей оказались в заложниках предприимчивых злоумышленников.


5zphmdog6nwiy3cxyprpux7kx0i4kygk.jpg


Более 22 000 серверов, использующих популярную платформу управления сайтами CyberPanel, недавно подверглись атаке с использованием критической уязвимости. Инцидент привёл к отключению почти всех уязвимых серверов и установке вымогательского ПО PSAUX.

Исследователь по безопасности DreyAnd обнаружил, что версии CyberPanel 2.3.6 и, вероятно, 2.3.7, содержат несколько серьёзных уязвимостей, которые позволяют удалённо выполнять код (RCE) с полными правами доступа к серверу. В числе уязвимостей — несовершенная система аутентификации, уязвимость к внедрению команд и обход фильтров безопасности, что позволяет злоумышленникам выполнять команды с правами root.

По словам исследователя, обнаруженные уязвимости позволяют получать доступ к страницам без аутентификации и вводить вредоносные команды благодаря отсутствию надёжной фильтрации на некоторых маршрутах. DreyAnd создал демонстрационный эксплойт, показав, как можно захватить контроль над сервером с использованием найденных уязвимостей.

Исследователь уведомил разработчиков CyberPanel о проблеме 23 октября, и уже в тот же день Для просмотра ссылки Войди или Зарегистрируйся исправляющий ошибки аутентификации. В течение получаса после получения отчёта создатель CyberPanel Усман Насир сообщил о выпуске версии 2.3.8, которая закрывает уязвимости. Команда разработчиков активно помогает пользователям в обновлении и решении вопросов, связанных с устранением последствий атаки.

Однако угроза всё ещё остаётся актуальной. Для просмотра ссылки Войди или Зарегистрируйся поисковой системы утечек LeakIX, более 22 000 необновлённых серверов были доступны в интернете на момент сообщения об уязвимости, из которых около 10 000 располагались в США. Вскоре после начала атак большинство этих серверов стали недоступны — предположительно, они были скомпрометированы и заражены PSAUX. На момент атаки через CyberPanel администрировались свыше 152 000 доменов и баз данных.

PSAUX представляет собой вредоносное ПО, предназначенное для шифрования файлов и вымогательства. Вредонос устанавливает уникальные ключи шифрования, которые сохраняются в системе, а к зашифрованным файлам добавляется расширение «.psaux». Для получения доступа к файлам жертвы видят записку с требованиями выкупа.

Исследователи проанализировали инструменты атакующих и обнаружили, что для взлома серверов злоумышленники использовали специальные скрипты — «ak47.py» для эксплуатации вышеупомянутой уязвимости, а также «actually.sh» для шифрования файлов. К счастью, благодаря ошибке в алгоритме шифрования экспертам удалось создать Для просмотра ссылки Войди или Зарегистрируйся

На момент публикации также стало известно, что помимо PSAUX уязвимость в CyberPanel начали использовать ещё два типа вымогательского ПО, добавляя к зашифрованным файлам расширения «.locked» и «.encrypted».

Специалисты настоятельно рекомендуют как можно скорее обновить CyberPanel до последней версии, Для просмотра ссылки Войди или Зарегистрируйся Этот шаг поможет минимизировать риски и обезопасить данные от возможных угроз.
 
Источник новости
www.securitylab.ru

Похожие темы