三个影响 CyberPanel(一种广泛使用的虚拟主机控制面板)的关键远程代码执行 (RCE) 漏洞正在被积极利用。威胁者正在利用这些漏洞(跟踪为 CVE-2024-51567、CVE-2024-51568 和 CVE-2024-51378)入侵服务器并部署 PSAUX 勒索软件。该漏洞影响 CyberPanel 2.3.6 和 2.3.7 版本,允许未经身份验证的攻击者获得 root 访问权限,从而完全控制受影响的系统。
网络安全研究人员 DreyAnd 和 Luka Petrovic 披露,PSAUX 勒索软件活动利用了 CyberPanel 2.3.6 版(可能还有 2.3.7 版)中的多个零日漏洞。这些漏洞允许未经身份验证的远程 root 访问,被指定为以下 CVE,每个 CVE 的最高 CVSS 得分为 10:
- CVE-2024-51567: 该漏洞存在于 CyberPanel 的 databases/views.py 中的 upgrademysqlstatus 函数中。通过绕过安全中间件并利用 statusfile 属性中的 shell 元字符,攻击者可获得远程命令执行能力。
- CVE-2024-51568: 另一个严重漏洞,该问题涉及通过 ProcessUtilities.outputExecutioner() 函数中的 completePath 注入命令。攻击者能够通过文件管理器中的文件上传执行任意命令,从而在未经身份验证的情况下执行远程代码。
- CVE-2024-51378:最近由 Petrovic 披露,该漏洞影响 dns/views.py 和 ftp/views.py 中的 getresetstatus 函数。与其他漏洞类似,该漏洞允许绕过中间件执行远程命令,因此是一个高危漏洞。
已知漏洞搜索引擎 LeakIX 的威胁情报显示,截至 10 月 26 日,有 21,761 个暴露的 CyberPanel 实例在线,其中近一半位于美国。这些实例总共管理着超过 152,000 个域名和数据库,成为勒索软件操作员的巨大目标。
PSAUX 勒索纸条 | 图片: LeakIX
PSAUX 勒索软件于 2024 年 6 月首次出现,旨在通过漏洞和配置弱点渗透网络服务器。一旦被利用,PSAUX 会执行以下恶意操作:
- 加密: 生成用于加密文件的唯一 AES 密钥,使服务器数据无法访问。
- 赎金说明: 在每个目录中创建 index.html 赎金笔记,并在 /etc/motd 中显示副本,登录后即可看到。
- RSA 加密: 使用嵌入式 RSA 密钥加密 AES 密钥和初始化矢量 (IV),并将结果保存为 /var/key.enc 和 /var/iv.enc。
该攻击利用了专门的脚本,包括用于利用 CyberPanel 漏洞的 ak47.py 和用于文件加密的 actually.sh。
针对这次攻击,LeakIX 和网络安全研究员 Chocapikk 成功获得了与 PSAUX 操作相关的脚本。LeakIX 随后发布了 PSAUX 加密文件的解密程序。不过,管理员要注意:解密器的成功依赖于勒索软件操作员对已知加密密钥的使用。如果使用了不正确的解密密钥,可能会导致不可逆转的数据丢失。建议用户在尝试解密前创建备份。
10 月 29 日,CyberPanel 发布官方声明,承认存在漏洞,感谢研究人员的快速报告,并详细说明了受影响用户的修复步骤:
- 对于有 SSH 访问权限的用户: 按照 CyberPanel 的更新指南修补漏洞。
- 对于没有 SSH 访问权限的用户: 在 SSH 访问受限的情况下,请联系托管服务提供商暂时取消 IP 屏蔽或启用端口 22 以方便更新。
强烈建议 CyberPanel 用户将其安装更新至 GitHub 上提供的最新修补版本。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容