三个影响 CyberPanel(一种广泛使用的虚拟主机控制面板)的关键远程代码执行 (RCE) 漏洞正在被积极利用。威胁者正在利用这些漏洞(跟踪为 CVE-2024-51567、CVE-2024-51568 和 CVE-2024-51378)入侵服务器并部署 PSAUX 勒索软件。该漏洞影响 CyberPanel 2.3.6 和 2.3.7 版本,允许未经身份验证的攻击者获得 root 访问权限,从而完全控制受影响的系统。
网络安全研究人员 DreyAnd 和 Luka Petrovic 披露,PSAUX 勒索软件活动利用了 CyberPanel 2.3.6 版(可能还有 2.3.7 版)中的多个零日漏洞。这些漏洞允许未经身份验证的远程 root 访问,被指定为以下 CVE,每个 CVE 的最高 CVSS 得分为 10:
- CVE-2024-51567: 该漏洞存在于 CyberPanel 的 databases/views.py 中的 upgrademysqlstatus 函数中。通过绕过安全中间件并利用 statusfile 属性中的 shell 元字符,攻击者可获得远程命令执行能力。
- CVE-2024-51568: 另一个严重漏洞,该问题涉及通过 ProcessUtilities.outputExecutioner() 函数中的 completePath 注入命令。攻击者能够通过文件管理器中的文件上传执行任意命令,从而在未经身份验证的情况下执行远程代码。
- CVE-2024-51378:最近由 Petrovic 披露,该漏洞影响 dns/views.py 和 ftp/views.py 中的 getresetstatus 函数。与其他漏洞类似,该漏洞允许绕过中间件执行远程命令,因此是一个高危漏洞。
已知漏洞搜索引擎 LeakIX 的威胁情报显示,截至 10 月 26 日,有 21,761 个暴露的 CyberPanel 实例在线,其中近一半位于美国。这些实例总共管理着超过 152,000 个域名和数据库,成为勒索软件操作员的巨大目标。
PSAUX 勒索纸条 | 图片: LeakIX
PSAUX 勒索软件于 2024 年 6 月首次出现,旨在通过漏洞和配置弱点渗透网络服务器。一旦被利用,PSAUX 会执行以下恶意操作:
- 加密: 生成用于加密文件的唯一 AES 密钥,使服务器数据无法访问。
- 赎金说明: 在每个目录中创建 index.html 赎金笔记,并在 /etc/motd 中显示副本,登录后即可看到。
- RSA 加密: 使用嵌入式 RSA 密钥加密 AES 密钥和初始化矢量 (IV),并将结果保存为 /var/key.enc 和 /var/iv.enc。
该攻击利用了专门的脚本,包括用于利用 CyberPanel 漏洞的 ak47.py 和用于文件加密的 actually.sh。
针对这次攻击,LeakIX 和网络安全研究员 Chocapikk 成功获得了与 PSAUX 操作相关的脚本。LeakIX 随后发布了 PSAUX 加密文件的解密程序。不过,管理员要注意:解密器的成功依赖于勒索软件操作员对已知加密密钥的使用。如果使用了不正确的解密密钥,可能会导致不可逆转的数据丢失。建议用户在尝试解密前创建备份。
10 月 29 日,CyberPanel 发布官方声明,承认存在漏洞,感谢研究人员的快速报告,并详细说明了受影响用户的修复步骤:
- 对于有 SSH 访问权限的用户: 按照 CyberPanel 的更新指南修补漏洞。
- 对于没有 SSH 访问权限的用户: 在 SSH 访问受限的情况下,请联系托管服务提供商暂时取消 IP 屏蔽或启用端口 22 以方便更新。
强烈建议 CyberPanel 用户将其安装更新至 GitHub 上提供的最新修补版本。