Πάνω από 22.000 περιπτώσεις CyberPanel που εκτέθηκαν στο διαδίκτυο, λόγω κρίσιμης ευπάθειας απομακρυσμένης εκτέλεσης κώδικα (RCE), στοχεύτηκαν μαζικά σε μια επίθεση ransomware PSAUX που έβγαλε σχεδόν όλες τις περιπτώσεις εκτός σύνδεσης.
Δείτε επίσης: Τα Fog και Akira ransomware παραβιάζουν εταιρικά δίκτυα μέσω SonicWall VPN
Αυτή την εβδομάδα, ο ερευνητής ασφαλείας DreyAnd αποκάλυψε ότι το CyberPanel 2.3.6 (και πιθανώς το 2.3.7), αντιμετωπίζει τρία διαφορετικά προβλήματα ασφάλειας που μπορεί να οδηγήσουν σε ένα exploit που επιτρέπει απομακρυσμένη πρόσβαση χωρίς έλεγχο ταυτότητας.
Συγκεκριμένα, ο ερευνητής αποκάλυψε τα ακόλουθα προβλήματα στην έκδοση 2.3.6 του CyberPanel:
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Πώς να Αναγνωρίσετε AI Video Call Scams;
Τα μελλοντικά VR headsets θα διαθέτουν ολογραφικούς φακούς
Ελαττωματικός έλεγχος ταυτότητας: Το CyberPanel ελέγχει για έλεγχο ταυτότητας χρήστη (σύνδεση) σε κάθε σελίδα ξεχωριστά αντί να χρησιμοποιεί ένα κεντρικό σύστημα, αφήνοντας ορισμένες σελίδες ή διαδρομές, όπως το ‘upgrademysqlstatus‘, απροστάτευτες από μη εξουσιοδοτημένη πρόσβαση.
Έγχυση εντολών: Οι εισροές χρηστών σε μη προστατευμένες σελίδες δεν γίνονται σωστά sanitized, επιτρέποντας στους εισβολείς να εισάγουν και να εκτελούν αυθαίρετες εντολές συστήματος.
Παράκαμψη φίλτρου ασφαλείας: Το ενδιάμεσο λογισμικό ασφαλείας φιλτράρει μόνο αιτήματα POST, επιτρέποντας στους εισβολείς να το παρακάμψουν χρησιμοποιώντας άλλες μεθόδους HTTP, όπως OPTIONS ή PUT.
Ο ερευνητής DreyAnd, ανέπτυξε ένα proof-of-concept exploit για να επιδείξει την εκτέλεση του ransomware PSAUX σε επίπεδο root στον διακομιστή, που του επιτρέπει να αναλάβει τον πλήρη έλεγχο του διακομιστή. Ο DreyAnd είπε στο BleepingComputer ότι μπορούσε να δοκιμάσει το exploit μόνο στην έκδοση 2.3.6 καθώς δεν είχε πρόσβαση στην έκδοση 2.3.7 εκείνη τη στιγμή. Ωστόσο, καθώς η 2.3.7 κυκλοφόρησε στις 19 Σεπτεμβρίου, πριν εντοπιστεί το σφάλμα, πιθανότατα επηρεάζεται επίσης.
Δείτε ακόμα: Ρώσικο δικαστήριο καταδικάζει τέσσερα μέλη της συμμορίας REvil Ransomware
Ο ερευνητής είπε ότι αποκάλυψαν το ελάττωμα στους προγραμματιστές του CyberPanel στις 23 Οκτωβρίου 2024 και μια επιδιόρθωση για το ζήτημα του ελέγχου ταυτότητας υποβλήθηκε αργότερα το ίδιο απόγευμα στο GitHub.
Ενώ οποιοσδήποτε εγκαθιστά το CyberPanel από το GitHub ή μέσω της διαδικασίας αναβάθμισης θα λάβει την επιδιόρθωση ασφαλείας, οι προγραμματιστές δεν έχουν κυκλοφορήσει νέα έκδοση του λογισμικού ούτε έχουν εκδώσει CVE.
Χθες, η μηχανή αναζήτησης απειλών της Intel LeakIX ανέφερε ότι 21.761 ευάλωτες περιπτώσεις CyberPanel εκτέθηκαν στο διαδίκτυο και σχεδόν οι μισές (10.170) βρίσκονταν στις Ηνωμένες Πολιτείες. Ωστόσο, κατά τη διάρκεια της νύχτας, ο αριθμός των περιπτώσεων μειώθηκε μυστηριωδώς σε μόνο περίπου 400 περιπτώσεις, με το LeakIX να λέει στο BleepingComputer ότι οι επηρεασμένοι διακομιστές δεν είναι πλέον προσβάσιμοι.
Όταν εκκινηθεί σε διακομιστή, το ransomware PSAUX θα δημιουργήσει ένα μοναδικό κλειδί AES και IV και θα τα χρησιμοποιήσει για την κρυπτογράφηση των αρχείων σε έναν διακομιστή. Το ransomware θα δημιουργήσει επίσης σημειώματα λύτρων με το όνομα index.html σε κάθε φάκελο. Όταν τελειώσει, το κλειδί AES και το IV κρυπτογραφούνται χρησιμοποιώντας ένα εσώκλειστο κλειδί RSA.
Δείτε επίσης: Qilin.B ransomware: Νέα έκδοση του Qilin με ισχυρότερη κρυπτογράφηση
Οι επιθέσεις ransomware αποτελούν μια από τις πιο επίμονες απειλές στον κυβερνοχώρο σήμερα. Πρόκειται για κακόβουλο λογισμικό που εισχωρεί σε συστήματα και κρυπτογραφεί τα δεδομένα τους, απαιτώντας λύτρα για την αποκατάσταση της πρόσβασης. Οι δράστες συχνά εκμεταλλεύονται κενά ασφαλείας σε λογισμικά ή χρησιμοποιούν τεχνικές social engineering για να αποκτήσουν πρόσβαση στα συστήματα στόχου. Η αυξημένη χρήση του ransomware έχει προκαλέσει σοβαρές επιπτώσεις σε οργανισμούς και ιδιώτες, υπογραμμίζοντας τη ζωτική ανάγκη για ισχυρά μέτρα ασφαλείας και τακτικά αντίγραφα ασφαλείας.
Πηγή: bleepingcomputer