Заплахите започнаха да използват уязвимостите, открити в CyberPanel, в рамките на часове след разкриването им, което доведе до хиляди случаи на поразяване от рансъмуер и миньори на криптовалута.
CyberPanel е популярен безплатен контролен панел за уеб хостинг. Изследовател, който използва онлайн псевдонима DreyAnd, наскоро откри, че софтуерът е засегнат от уязвимости, които могат да бъдат използвани за неавтентифицирано отдалечено изпълнение на код.
DreyAnd е съобщил за откритията си на разработчиците на CyberPanel, които са създали кръпки на 23 октомври. Няколко дни по-късно, на 27 октомври, изследователят разкри техническите подробности на своите открития, заедно с код за проверка на концепцията (PoC).
LeakIX, компания, която открива уязвими системи онлайн, започна да следи инстанциите на CyberPanel на следващия ден и до 29 октомври вече беше потвърдила масовата експлоатация.
Според LeakIX на 28 октомври е имало около 22 000 инстанции онлайн, като приблизително половината от тях са се намирали в Съединените щати. На следващия ден броят им е спаднал до няколкостотин, но не защото инстанциите са били поправени, а защото са били хакнати и вече не са били достъпни.
Съобщава се, че компрометираните 20 000 екземпляра на CyberPanel обхващат около 200 000 уебсайта.
Анализът показа, че уязвимите инстанции на CyberPanel са били обект на атаки с рансъмуер на Psaux. Нападателите са криптирали файлове на компрометираните сървъри и са поискали откуп в замяна на декриптор.
Най-новата актуализация от LeakIX разкри, че цели три групи рансъмуер са се насочили към инстанции на CyberPanel, като всяка от тях е криптирала файлове, в някои случаи включително файлове, които преди това са били криптирани от друг рансъмуер.
Създаден е декриптор за рансъмуера Psaux, а изследователите работят по създаването на инструменти за декриптиране на останалите. В някои случаи погрешният метод за криптиране, използван от Psaux, „срива всичко“, според LeakIX.
Освен това LeakIX съобщава, че на някои от компрометираните сървъри са били разположени миньори за криптовалута.
В отговор на критиките относно прибързаното разкриване на информацията DreyAnd призна, че е изпуснал топката, като се аргументира, че не е имал представа, че толкова много хостове ще бъдат засегнати от уязвимостите. Той също така отбеляза, че разработчиците на CyberPanel са му позволили да разкрие публично констатациите.
Разработчиците на CyberPanel са определили идентификаторите CVE-2024-51567 и CVE-2024-51568. В известие до клиентите CyberPanel предостави препоръки за кръпки и реакция при инциденти, а също така сподели и своята версия на историята.
„Когато експертите ни информираха за проблема, ние незабавно прегледахме техните констатации и в рамките на 30 минути пуснахме кръпка за сигурност“, заяви CyberPanel. „По-късно те ни посъветваха да обявим този проблем публично, но ние поискахме да го задържим, за да дадем на потребителите време да го актуализират от съображения за сигурност. Въпреки че първоначално не го обявихме, рутинната актуализация включваше кръпката за сигурност.“
В крайна сметка този инцидент изглежда е резултат от лоша комуникация между изследователя по сигурността и доставчика, като потребителите трябва да платят цената.
