Makale CyberPanel geliştiricisinden bilgi eklemek ve ücretsiz Decryptor hakkında bilgi eklemek için güncellendi.
Kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığı için çevrimiçi olarak maruz kalan 22.000'den fazla siberPanel örneği, neredeyse tüm durumları çevrimdışı alan bir Psaux fidye yazılımı saldırısında kütle hedeflendi.
Bu hafta, güvenlik araştırmacısı Dreyand, CyberPanel 2.3.6'nın (ve muhtemelen 2.3.7), kimlik doğrulaması olmadan kimlik doğrulanmamış uzak kök erişimine izin verebilecek bir istismarla sonuçlanabilecek üç farklı güvenlik sorunundan muzdarip olduğunu açıkladı.
Özellikle, araştırmacı CyberPanel sürüm 2.3.6'da aşağıdaki sorunları ortaya çıkardı:
Araştırmacı Dreyand, sunucuda kök seviyesi uzaktan komut yürütmeyi göstermek için sunucunun tam kontrolünü ele geçirmesini sağlayan bir kavram kanıtı geliştirdi.
Dreyand, BleepingComputer'a, o zaman 2.3.7 sürümüne erişimi olmadığı için yalnızca 2.3.6 sürümünde istismar test edebileceğini söyledi. Ancak, 2.3.7, hata bulunmadan önce 19 Eylül'de piyasaya sürüldü, muhtemelen de etkilendi.
Araştırmacı, 23 Ekim 2024'te CyberPanel geliştiricilerine kusur açıkladıklarını ve o akşam GitHub'da kimlik doğrulama sorunu için bir düzeltme yapıldığını söyledi.
Bu hikayenin yayınlanmasından sonra, CyberPanel yaratıcısı Usman Nasir, BleepingComputer'a 2.3.8 sürümünün yayınlandığını ve hatanın güvenlik açıklamasını aldıktan sonraki otuz dakika içinde sabitlendiğini söyledi.
Nasir, ekibinin yükseltme ve ihlallerle insanlara yardım etmekle meşgul olduğunu söylüyor, bu yüzden henüz değişim günlüğünü hazırlayamadılar.
Geliştirici, BleepingComputer'a CyberPanel'i en son sürüme yükseltmenin önerilen yolunun bu destek makalesinde bulunabileceğini söyledi.
CyberPanel ayrıca kullanıcıların sistemlerini nasıl güvence altına almaları gerektiğine dair adımlarla istismar ve devam eden saldırılar hakkında bir güvenlik danışmanlığı yayınladı.
Dün, Intel Arama Motoru Leakix tehdidi, 21.761 savunmasız siberPanel örneğinin çevrimiçi olarak maruz kaldığını ve yaklaşık yarısının (10.170) Amerika Birleşik Devletleri'nde olduğunu bildirdi.
Bununla birlikte, bir gecede, gizemli bir şekilde sadece yaklaşık 400 örneğe düştü, Leakix BlewingComputer'a etkilenen sunucuların artık erişilemediğini söylüyor.
Siber güvenlik araştırmacısı GI7W0RM, bu örneklerin CyberPanel'in merkezi erişim ve yönetim sistemi olarak hareket ettiği 152.000'den fazla alan ve veritabanını yönettiğini X'de tweetledi.
Leakix, BleepingComputer'a tehdit aktörlerinin Psaux fidye yazılımlarını yüklemesi için maruz kalan siberPanel sunucularını seri olarak incelediğini söyledi.
PSAUX fidye yazılımı işlemi Haziran 2024'ten beri var ve güvenlik açıkları ve yanlış yapılandırmalar yoluyla açık web sunucularını hedefliyor.
Bir sunucuda başlatıldığında, fidye yazılımı benzersiz bir AES anahtarı ve IV oluşturacak ve bunları bir sunucudaki dosyaları şifrelemek için kullanacaktır. Şifrelenmiş dosyalar, dosya adına eklenen .psaux uzantısına sahip olacaktır.
Fidye yazılımı ayrıca her klasörde index.html adlı fidye notları oluşturacak ve fidye notunu /etc /motd olarak kopyalayacaktır, böylece bir kullanıcı aygıtta oturum açtığında gösterilir.
Bittiğinde, AES anahtarı ve IV kapalı bir RSA tuşu kullanılarak şifrelenir ve /var/key.enc ve /var/IV.enc olarak kaydedilir.
Leakix ve Chocapikk, bu saldırıda kullanılan komut dosyalarını, CyberPanel güvenlik açığını kullanmak için bir AK47.py komut dosyası ve dosyaları şifrelemek için aslında.sh adlı başka bir komut dosyasını içeren komut dosyalarını aldı.
PSAUX fidye yazılımının nasıl şifreli dosyalarla ilgili bir kusur nedeniyle, LAKIX tarafından oluşturulan bir şifrelemeyi kullanarak dosyaları ücretsiz olarak şifresini çözmek mümkündür.
Tehdit oyuncusu farklı şifreleme anahtarları kullanırsa, yanlış olanla çözülmesinin verilerinizi bozabileceğine dikkat edilmelidir. Bu nedenle, önce çalıştığını test etmek için bu şifrelemeyi kullanmaya çalışmadan önce verilerinizin bir yedeklemesini yaptığınızdan emin olun.
Hikayemizin yayınlanmasından sonra Leakix, Psaux fidye yazılımı ile birlikte A Cryptominer'ın kurulduğunu ve diğer iki fidye yazılımı işleminin de kusuru hedeflediğini belirledi, bu varyantlar.
CyberPanel Kusurunun aktif olarak kullanılması nedeniyle, kullanıcılara GitHub'daki en son sürüme mümkün olan en kısa sürede yükseltmeleri tavsiye edilir.
GÜNCELLEME 10/29/24: Düzeltme işlemi hakkında bilgi eklendi. GÜNCELLEME 10/30/24: CyberPanel geliştiricisinin entegre bilgileri. CyberPanel'den güvenlik danışmanlığı eklendi. GÜNCELLEME 10/30/24: CyberPanel kusurunu ve kriptominerleri hedefleyen diğer fidye yazılımı işlemleri hakkında bilgi eklendi.
70'den fazla sıfır gün kusuru, hackerların pwn2own İrlanda'da 1 milyon dolar alıyor
Fortinet, sıfır gün saldırılarında kullanılan yeni eleştirel fortimanager kusurunu uyarıyor
QNAP, Synology, Lexmark Cihazları PWN2OWN 3. gününde hacklendi
Cisco, şifre sprey saldırılarında keşfedilen vpn dos kusurunu düzeltiyor
Google: 2023'te açıklanan sömürülen kusurların% 70'i sıfır gündü
Kaynak: Bleeping Computer