Eine kürzlich entdeckte kritische Sicherheitslücke im beliebten Hosting-Management-Panel CyberPanel hat zu einem großangelegten Ransomware-Angriff geführt. Die Schwachstelle ermöglicht Angreifern, ohne Authentifizierung Root-Zugriff auf betroffene Server zu erlangen, was eine ernsthafte Bedrohung für tausende Websites und Datenbanken darstellt.
Details zur CyberPanel-Sicherheitslücke
Die Sicherheitslücke betrifft CyberPanel-Versionen 2.3.6 und vermutlich auch 2.3.7. Sie setzt sich aus drei verschiedenen Schwachstellen zusammen, die in Kombination einem Angreifer vollständige Kontrolle über den Server ermöglichen. Ein Sicherheitsforscher mit dem Pseudonym DreyAnd entwickelte einen Proof-of-Concept-Exploit, der die Möglichkeit zur Remote-Code-Ausführung mit Root-Rechten demonstriert.
Laut dem Sicherheitsdienstleister LeakIX wurden im Internet über 21.000 anfällige CyberPanel-Instanzen identifiziert, wobei sich fast die Hälfte davon in den USA befand. Diese Server verwalteten mehr als 152.000 Domains und Datenbanken, was das enorme Ausmaß des potenziellen Schadens verdeutlicht.
PSAUX Ransomware-Angriff
Cyberkriminelle nutzten die Situation schnell aus. Innerhalb weniger Tage nach Bekanntwerden der Sicherheitslücke sank die Anzahl der im Internet verfügbaren CyberPanel-Instanzen drastisch von über 21.000 auf etwa 400. Dies war das Ergebnis eines massiven Angriffs durch die Ransomware PSAUX.
Funktionsweise der PSAUX Ransomware
PSAUX ist eine Malware, die seit Juni 2024 aktiv ist und sich auf das Kompromittieren von internetexponierten Webservern durch verschiedene Schwachstellen und Fehlkonfigurationen spezialisiert hat. Im Fall von CyberPanel nutzten die Angreifer zwei Skripte:
- ak47.py zur Ausnutzung der Sicherheitslücke
- actually.sh zur Verschlüsselung von Dateien auf infizierten Servern
Die PSAUX Ransomware funktioniert wie folgt:
- Generierung eines einzigartigen AES-Schlüssels und Initialisierungsvektors (IV)
- Verschlüsselung der Serverdateien mit diesen Schlüsseln
- Verschlüsselung des AES-Schlüssels und IV mit einem öffentlichen RSA-Schlüssel
- Speicherung der verschlüsselten Schlüssel in den Dateien /var/key.enc und /var/iv.enc
Gegenmaßnahmen und Wiederherstellung
Trotz der Schwere des Vorfalls gibt es positive Nachrichten. Aufgrund eines Implementierungsfehlers in der Ransomware konnten Experten von LeakIX einen Entschlüsselungstool entwickeln, der zur kostenlosen Wiederherstellung verschlüsselter Daten genutzt werden kann. Es ist jedoch wichtig zu beachten, dass die Verwendung eines falschen Entschlüsselungsschlüssels zu Datenbeschädigung führen kann. Daher wird dringend empfohlen, vor der Anwendung des Entschlüsselungstools ein Backup zu erstellen.
Um zukünftige Angriffe zu verhindern, wird allen CyberPanel-Nutzern dringend geraten, umgehend auf Version 2.3.8 oder höher zu aktualisieren, in der die kritische Sicherheitslücke behoben wurde. Darüber hinaus ist es essentiell, regelmäßige Software-Updates durchzuführen, komplexe Passwörter zu verwenden und wo immer möglich Zwei-Faktor-Authentifizierung zu implementieren. Dieser Vorfall unterstreicht erneut die Bedeutung zeitnaher Software-Updates und kontinuierlicher Überwachung der Cybersicherheit. In der heutigen digitalen Welt kann selbst eine kleine Sicherheitslücke katastrophale Folgen für tausende Nutzer und Organisationen haben. Bleiben Sie wachsam und vernachlässigen Sie nicht die Sicherheit Ihrer Systeme.
