Los ciberdelincuentes se han aprovechado de múltiples vulnerabilidades en CyberPanel para su instalación ransomware Y obligar a decenas de miles de casos a desconectarse. Las víctimas pueden tener suerte, ya que parece haber una clave de descifrado disponible.
Un investigador de ciberseguridad conocido como DreyAnd anunció el descubrimiento de tres vulnerabilidades importantes en CyberPanel 2.3.6, y posiblemente 2.3.7, que permitían la ejecución remota de código y la ejecución de comandos arbitrarios del sistema.
Incluso publicaron una prueba de concepto (PoC) para mostrar cómo hacerse cargo de un servidor vulnerable.
Descifrar ransomware
CyberPanel es de código abierto alojamiento web Un panel de control que simplifica la gestión de servidores web y sitios web. Está construido sobre LiteSpeed y permite a los usuarios administrar sitios web, bases de datos, dominios y correos electrónicos. CyberPanel es particularmente popular debido a su integración con el servidor OpenLiteSpeed de LiteSpeed y LSCache, que aumenta la velocidad y el rendimiento del sitio web.
Esto llevó a los desarrolladores de CyberPanel a publicar una solución y publicarla en GitHub. Cualquiera que descargue CyberPanel de GitHub o actualice una versión existente obtendrá la solución. Sin embargo, la herramienta no ha recibido una nueva versión y las vulnerabilidades CVE no han sido asignadas.
Como se informó pitidocomputadoraHabía más de 21.000 puntos finales vulnerables conectados a Internet, casi la mitad de los cuales estaban ubicados en Estados Unidos. Poco después de publicar la prueba de concepto, el número de instancias visibles se redujo a solo cientos. Algunos investigadores confirmaron que los actores de amenazas implementaron la variante de ransomware PSAUX, lo que obligó a los dispositivos a desconectarse. Al parecer, a través de CyberPanel se gestionan más de cien mil dominios y bases de datos.
El ransomware PSAUX lleva el nombre de un proceso popular de Linux y se dirige a sistemas basados en Linux. Aprovecha técnicas avanzadas para evitar la detección y garantizar la continuidad, lo que lo hace especialmente peligroso para empresas y organizaciones que ejecutan aplicaciones críticas en servidores Linux.
Sin embargo, la publicación agregó más tarde que un investigador de seguridad conocido como LeakIX lanzó una herramienta de descifrado que puede revertir el daño causado por el ataque. Sin embargo, si los atacantes utilizan una clave de cifrado diferente, intentar descifrarla puede dañar los datos, por lo que se recomienda crear una copia de seguridad antes de intentar descifrarlos.