В мире кибербезопасности произошло серьезное событие: исследователи обнаружили критическую уязвимость в популярной панели управления хостингом CyberPanel. Эта уязвимость позволяет злоумышленникам получить удаленный root-доступ к серверам без аутентификации, что представляет серьезную угрозу для тысяч веб-сайтов и баз данных.
Детали уязвимости CyberPanel
Уязвимость затрагивает версии CyberPanel 2.3.6 и, предположительно, 2.3.7. Она состоит из трех различных проблем, которые в совокупности позволяют атакующему получить полный контроль над сервером. Исследователь под псевдонимом DreyAnd разработал proof-of-concept эксплоит, демонстрирующий возможность удаленного выполнения команд с правами root.
По данным сервиса LeakIX, в сети было обнаружено более 21 000 уязвимых экземпляров CyberPanel, причем почти половина из них находилась в США. Эти серверы управляли более чем 152 000 доменов и баз данных, что подчеркивает масштаб потенциального ущерба.
Массовая атака вымогателя PSAUX
К сожалению, хакеры быстро воспользовались ситуацией. Всего через несколько дней после публикации информации об уязвимости количество доступных в сети экземпляров CyberPanel резко сократилось с более чем 21 000 до примерно 400. Это произошло в результате массовой атаки вымогателя PSAUX.
PSAUX — это вредоносное ПО, активное с июня 2024 года. Оно специализируется на взломе доступных через интернет веб-серверов, используя различные уязвимости и неправильные конфигурации. В случае с CyberPanel, злоумышленники использовали два скрипта: ak47.py для эксплуатации уязвимости и actually.sh для шифрования файлов на зараженных серверах.
Механизм работы вымогателя PSAUX
Вымогатель PSAUX работает следующим образом:
- Создает уникальный ключ AES и вектор инициализации (IV).
- Использует эти ключи для шифрования файлов на сервере.
- Шифрует ключ AES и IV с помощью закрытого ключа RSA.
- Сохраняет зашифрованные ключи в файлах /var/key.enc и /var/iv.enc.
Меры противодействия и восстановления
Несмотря на серьезность ситуации, есть и хорошие новости. Благодаря ошибке в реализации вымогателя, специалисты LeakIX смогли создать дешифровщик, который можно использовать для бесплатного восстановления зашифрованных данных. Однако важно отметить, что использование неправильного ключа шифрования может привести к повреждению данных, поэтому перед применением дешифровщика настоятельно рекомендуется создать резервную копию.
Для предотвращения подобных атак в будущем, всем пользователям CyberPanel настоятельно рекомендуется немедленно обновиться до версии 2.3.8 или выше, в которой устранена критическая уязвимость. Кроме того, важно регулярно обновлять все программное обеспечение, использовать сложные пароли и применять многофакторную аутентификацию везде, где это возможно.
Этот инцидент еще раз подчеркивает важность своевременного обновления программного обеспечения и постоянного мониторинга кибербезопасности. В современном цифровом мире даже небольшая уязвимость может привести к катастрофическим последствиям для тысяч пользователей и организаций. Будьте бдительны и не пренебрегайте безопасностью ваших систем.
