Plus de 22 000 instances de CyberPanel exposées en ligne à une vulnérabilité critique d’exécution de code à distance (RCE) ont été ciblées en masse dans une attaque de ransomware PSAUX qui a mis presque toutes les instances hors ligne.
Cette semaine, le chercheur en sécurité Grey And a révélé que le Cyber Panel 2.3.6 (et probablement 2.3.7) souffre de trois problèmes de sécurité distincts qui peuvent entraîner un exploit permettant un accès root distant non authentifié sans authentification.
Plus précisément, le chercheur a découvert les problèmes suivants sur la version 2.3.6 du Cyber Panel:
- Authentification défectueuse: CyberPanel vérifie l’authentification de l’utilisateur (connexion) sur chaque page séparément au lieu d’utiliser un système central, laissant certaines pages ou itinéraires, comme « upgrademysqlstatus », sans protection contre les accès non autorisés.
- Injection de commandes: Les entrées utilisateur sur les pages non protégées ne sont pas correctement nettoyées, ce qui permet aux attaquants d’injecter et d’exécuter des commandes système arbitraires.
- Contournement du filtre de sécurité: Le middleware de sécurité filtre uniquement les requêtes POST, permettant aux attaquants de les contourner en utilisant d’autres méthodes HTTP, telles que OPTIONS ou PUT.
Le chercheur, DreyAnd, a développé un exploit de validation de principe pour démontrer l’exécution de commandes à distance au niveau racine sur le serveur, lui permettant de prendre le contrôle complet du serveur.
DreyAnd a déclaré à Breachtrace qu’il ne pouvait tester l’exploit que sur la version 2.3.6 car il n’avait pas accès à la version 2.3.7 à l’époque. Cependant, comme la version 2.3.7 a été publiée le 19 septembre, avant la découverte du bogue, elle a probablement également été affectée.
Le chercheur a déclaré avoir divulgué la faille aux développeurs de CyberPanel le 23 octobre 2024, et un correctif pour le problème d’authentification a été soumis plus tard dans la soirée sur GitHub.
Alors que toute personne qui installe CyberPanel à partir de GitHub ou via le processus de mise à niveau obtiendra le correctif de sécurité, les développeurs n’ont pas publié de nouvelle version du logiciel ni émis de CVE.
Breachtrace a contacté CyberPanel pour lui demander quand ils prévoyaient de publier une nouvelle version ou une annonce de sécurité, mais nous attendons toujours leur réponse.
Ciblé dans l’attaque de ransomware PSAUX
Hier, la menace du moteur de recherche intel LeakIX a rapporté que 21 761 instances de CyberPanel vulnérables ont été exposées en ligne, et près de la moitié (10 170) se trouvaient aux États-Unis.
Cependant, du jour au lendemain, le nombre d’instances a mystérieusement chuté à seulement environ 400 instances, LeakIX indiquant à Breachtrace que les serveurs impactés ne sont plus accessibles.
Le chercheur en cybersécurité Gi7w0rm a tweeté sur X que ces instances géraient plus de 152 000 domaines et bases de données, pour lesquels CyberPanel agissait en tant que système central d’accès et de gestion.
LeakIX a maintenant déclaré à Breachtrace que les acteurs de la menace exploitaient en masse les serveurs CyberPanel exposés pour installer le ransomware PSAUX.
L’opération de ransomware PSAUX existe depuis juin 2024 et cible les serveurs Web exposés via des vulnérabilités et des erreurs de configuration.
Lorsqu’il est lancé sur un serveur, le ransomware créera une clé AES et IV uniques et les utilisera pour crypter les fichiers sur un serveur.
Le ransomware créera également des notes de rançon nommées index.html dans chaque dossier et copiez la note de rançon dans /etc / motd, de sorte qu’elle s’affiche lorsqu’un utilisateur se connecte à l’appareil.
Une fois terminé, la clé AES et IV sont chiffrées à l’aide d’une clé RSA incluse et enregistrées sous /var/key.etc. et /var / iv. enc.
LeakIX et Chocapikk ont obtenu les scripts utilisés dans cette attaque, qui incluent un ak47.py script pour exploiter la vulnérabilité CyberPanel et un autre script nommé actually.sh pour chiffrer les fichiers.
Cependant, une faiblesse a été trouvée qui pourrait permettre le décryptage de fichiers gratuitement, les chercheurs étudient actuellement si cela est possible.
En raison de l’exploitation active de la faille Cyber Panel, il est fortement conseillé aux utilisateurs de passer à la dernière version sur GitHub dès que possible.