Заплахите започнаха да използват уязвимостите, открити в CyberPanel, в рамките на часове след разкриването им, което доведе до хиляди случаи на поразяване от рансъмуер и миньори на криптовалута.
CyberPanel е популярен безплатен контролен панел за уеб хостинг. Изследовател, който използва онлайн псевдонима DreyAnd, наскоро откри, че софтуерът е засегнат от уязвимости, които могат да бъдат използвани за неавтентифицирано отдалечено изпълнение на код.
DreyAnd е съобщил за откритията си на разработчиците на CyberPanel, които са създали кръпки на 23 октомври. Няколко дни по-късно, на 27 октомври, изследователят разкри техническите подробности на своите открития, заедно с код за проверка на концепцията (PoC).
LeakIX, компания, която открива уязвими системи онлайн, започна да следи инстанциите на CyberPanel на следващия ден и до 29 октомври вече беше потвърдила масовата експлоатация.
Според LeakIX на 28 октомври е имало около 22 000 инстанции онлайн, като приблизително половината от тях са се намирали в Съединените щати. На следващия ден броят им е спаднал до няколкостотин, но не защото инстанциите са били поправени, а защото са били хакнати и вече не са били достъпни.
Съобщава се, че компрометираните 20 000 екземпляра на CyberPanel обхващат около 200 000 уебсайта.
Анализът показа, че уязвимите инстанции на CyberPanel са били обект на атаки с рансъмуер на Psaux. Нападателите са криптирали файлове на компрометираните сървъри и са поискали откуп в замяна на декриптор.
Най-новата актуализация от LeakIX разкри, че цели три групи рансъмуер са се насочили към инстанции на CyberPanel, като всяка от тях е криптирала файлове, в някои случаи включително файлове, които преди това са били криптирани от друг рансъмуер.
Създаден е декриптор за рансъмуера Psaux, а изследователите работят по създаването на инструменти за декриптиране на останалите. В някои случаи погрешният метод за криптиране, използван от Psaux, „срива всичко“, според LeakIX.
Освен това LeakIX съобщава, че на някои от компрометираните сървъри са били разположени миньори за криптовалута.
В отговор на критиките относно прибързаното разкриване на информацията DreyAnd призна, че е изпуснал топката, като се аргументира, че не е имал представа, че толкова много хостове ще бъдат засегнати от уязвимостите. Той също така отбеляза, че разработчиците на CyberPanel са му позволили да разкрие публично констатациите.
Разработчиците на CyberPanel са определили идентификаторите CVE-2024-51567 и CVE-2024-51568. В известие до клиентите CyberPanel предостави препоръки за кръпки и реакция при инциденти, а също така сподели и своята версия на историята.
„Когато експертите ни информираха за проблема, ние незабавно прегледахме техните констатации и в рамките на 30 минути пуснахме кръпка за сигурност“, заяви CyberPanel. „По-късно те ни посъветваха да обявим този проблем публично, но ние поискахме да го задържим, за да дадем на потребителите време да го актуализират от съображения за сигурност. Въпреки че първоначално не го обявихме, рутинната актуализация включваше кръпката за сигурност.“
В крайна сметка този инцидент изглежда е резултат от лоша комуникация между изследователя по сигурността и доставчика, като потребителите трябва да платят цената.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.