Cybercriminelen hebben misbruik gemaakt van meerdere kwetsbaarheden in CyberPanel om deze te installeren ransomware en forceer tienduizenden exemplaren offline. Slachtoffers kunnen echter geluk hebben, aangezien er een decoderingssleutel beschikbaar lijkt te zijn.
Een cybersecurity-onderzoeker alias DreyAnd heeft aangekondigd dat hij drie grote kwetsbaarheden heeft gevonden in CyberPanel 2.3.6 en mogelijk 2.3.7, die het uitvoeren van code op afstand en het uitvoeren van willekeurige systeemopdrachten mogelijk maakten.
Ze publiceerden zelfs een proof-of-concept (PoC) om te demonstreren hoe ze een kwetsbare server konden overnemen.
Het decoderen van de ransomware
CyberPanel is een open source webhosting controlepaneel dat het beheer van webservers en websites vereenvoudigt. Het is gebouwd op LiteSpeed en stelt gebruikers in staat websites, databases, domeinen en e-mails te beheren. CyberPanel is vooral populair vanwege de integratie met de OpenLiteSpeed-server en LSCache van LiteSpeed, die de snelheid en prestaties van de website verbeteren.
Dit was voor de ontwikkelaars van CyberPanel aanleiding om een oplossing uit te brengen en deze op GitHub te plaatsen. Iedereen die CyberPanel downloadt van GitHub, of een bestaande versie upgradet, krijgt de oplossing. De tool kreeg echter geen nieuwe versie en de kwetsbaarheden kregen geen CVE toegewezen.
Zoals gerapporteerd door BleepingComputerwaren er meer dan 21.000 met internet verbonden en kwetsbare eindpunten, waarvan ongeveer de helft zich in de VS bevond. Kort nadat de PoC was gepubliceerd, daalde het aantal zichtbare exemplaren tot slechts honderden. Sommige onderzoekers bevestigden dat bedreigingsactoren de PSAUX-ransomwarevariant hebben ingezet, waardoor de apparaten offline werden gedwongen. Blijkbaar werden ruim honderdduizend domeinen en databases beheerd via CyberPanel.
De PSAUX-ransomware is vernoemd naar een veelgebruikt Linux-proces en richt zich op Linux-gebaseerde systemen. Het maakt gebruik van geavanceerde technieken om detectie te voorkomen en persistentie te garanderen, waardoor het bijzonder gevaarlijk is voor bedrijven en organisaties die kritieke applicaties op Linux-servers draaien.
De publicatie voegde er later echter aan toe dat een beveiligingsonderzoeker, alias LeakIX, een decryptor heeft uitgebracht die de schade die door de aanval is aangericht, kan ongedaan maken. Maar als de aanvallers een andere coderingssleutel gebruiken, kan een poging om deze te decoderen de gegevens beschadigen. Daarom wordt geadviseerd een back-up te maken voordat u de decodering probeert.
