У світі кібербезпеки стався серйозний інцидент: дослідники виявили критичну вразливість у популярній панелі управління хостингом CyberPanel. Ця вразливість дозволяє зловмисникам отримати віддалений root-доступ до серверів без автентифікації, що становить значну загрозу для тисяч веб-сайтів та баз даних.
Детальний аналіз вразливості CyberPanel
Вразливість зачіпає версії CyberPanel 2.3.6 та, ймовірно, 2.3.7. Вона складається з трьох різних проблем, які в сукупності дозволяють атакуючому отримати повний контроль над сервером. Дослідник під псевдонімом DreyAnd розробив proof-of-concept експлойт, що демонструє можливість віддаленого виконання команд з правами root.
За даними сервісу LeakIX, в мережі було виявлено понад 21 000 вразливих екземплярів CyberPanel, причому майже половина з них знаходилася в США. Ці сервери керували більш ніж 152 000 доменів та баз даних, що підкреслює масштаб потенційної шкоди.
Масштабна атака вимагача PSAUX
На жаль, хакери швидко скористалися ситуацією. Всього через кілька днів після публікації інформації про вразливість кількість доступних у мережі екземплярів CyberPanel різко скоротилася з понад 21 000 до приблизно 400. Це сталося в результаті масованої атаки вимагача PSAUX.
Механізм роботи вимагача PSAUX
PSAUX – це шкідливе програмне забезпечення, активне з червня 2024 року. Воно спеціалізується на зламі доступних через інтернет веб-серверів, використовуючи різні вразливості та неправильні конфігурації. У випадку з CyberPanel, зловмисники використовували два скрипти: ak47.py для експлуатації вразливості та actually.sh для шифрування файлів на заражених серверах.
Вимагач PSAUX працює наступним чином:
- Створює унікальний ключ AES та вектор ініціалізації (IV).
- Використовує ці ключі для шифрування файлів на сервері.
- Шифрує ключ AES та IV за допомогою закритого ключа RSA.
- Зберігає зашифровані ключі у файлах /var/key.enc та /var/iv.enc.
Заходи протидії та відновлення
Незважаючи на серйозність ситуації, є і хороші новини. Завдяки помилці в реалізації вимагача, фахівці LeakIX змогли створити дешифрувальник, який можна використовувати для безкоштовного відновлення зашифрованих даних. Однак важливо зазначити, що використання неправильного ключа шифрування може призвести до пошкодження даних, тому перед застосуванням дешифрувальника наполегливо рекомендується створити резервну копію.
Для запобігання подібним атакам у майбутньому, всім користувачам CyberPanel наполегливо рекомендується негайно оновитися до версії 2.3.8 або вище, в якій усунуто критичну вразливість. Крім того, важливо регулярно оновлювати все програмне забезпечення, використовувати складні паролі та застосовувати багатофакторну автентифікацію скрізь, де це можливо.
Цей інцидент ще раз підкреслює важливість своєчасного оновлення програмного забезпечення та постійного моніторингу кібербезпеки. У сучасному цифровому світі навіть невелика вразливість може призвести до катастрофічних наслідків для тисяч користувачів та організацій. Будьте пильні та не нехтуйте безпекою ваших систем. Регулярно проводьте аудит безпеки, навчайте персонал основам кібергігієни та інвестуйте в надійні рішення для захисту даних.
