Datum der Offenlegung: Oktober 29, 2024
Datum der Aufnahme in die CISA KEV: November 7, 2024 (CVE-2024-51567)
Letzte Woche, berichteten wir über CVE-2024-51378berichtet, eine kritische, nicht authentifizierte Schwachstelle für Remotecodeausführung (RCE) in CyberPanel durch die getresetstatus Endpunkt, die aktiv von verschiedenen Ransomware-Banden, einschließlich der PSAUX-Operation, ausgenutzt wird.
Zum Zeitpunkt der Veröffentlichung unseres letzten Hinweises haben wir 60.935 gefährdete CyberPanel-Geräte festgestellt. Diese Zahl ist seither um ca. 4.000 gesunken, wobei unsere aktuelle Bewertung 55.425 gefährdete Geräte identifiziert hat.
Zwei weitere kritische CyberPanel-Schwachstellen die gleichzeitig bekannt wurden, waren CVE-2024-51567, die gestern zu CISA KEV hinzugefügt wurde und nun auch Ziel von Ransomware, und CVE-2024-51568.
CVE-2024-51378 und CVE-2024-51567 betreffen Versionen bis zu 2.3.6 und ungepatchte 2.3.7, während CVE-2024-51568 die Versionen 2.3.5 und früher betrifft. Alle drei Schwachstellen haben den maximalen CVSS-Severity-Score von 10.0 von MITRE und können zu unauthentifiziertem RCE führen, obwohl sie in verschiedenen Komponenten von CyberPanel liegen.
CVE-2024-51567 nutzt die upgrademysqlstatus Anlage in databases/views.py vor 5b08cd6erlaubt entfernten Angreifern, die Authentifizierung zu umgehen und beliebige Befehle auszuführen über /dataBases/upgrademysqlstatus unter Umgehung von secMiddleware (die nur für einen POST Anfrage) und die Verwendung von Shell-Metazeichen in der statusfile-Eigenschaft, wie sie im Oktober 2024 von PSAUX ausgenutzt wurde.
CVE-2024-51568 ermöglicht Befehlsinjektion über vollständigenPfad in der ProcessUtilities.outputExecutioner() Senke. Ein entfernter, nicht authentifizierter Akteur kann eine speziell gestaltete Anfrage an den /filemanager/upload (auch bekannt als Dateimanager-Upload) senden, um über Shell-Metazeichen eine unauthentifizierte Remotecodeausführung zu ermöglichen.
CyberPanel is an open-source web hosting control panel built specifically to work with the LiteSpeed Web Server. CyberPanel is typically accessible over the public internet through a web based interface on TCP/8090 by default. Once installed on a server, users can log into CyberPanel by navigating to http://<server-ip>:8090. This interface is accessible globally, provided there are no network restrictions or firewall rules blocking the port.
Offengelegtes CyberPanel-Webportal
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-51567 - CVSS 10.0 (Kritisch) zugewiesen von Mitre |
CVE-2024-51568 - CVSS 10.0 (Kritisch) zugewiesen von Mitre |
| Schwachstelle Beschreibung |
upgrademysqlstatus in datenbanken/ansichten.py in CyberPanel vor 5b08cd6 erlaubt entfernten Angreifern, die Authentifizierung zu umgehen und beliebige Befehle über /dataBases/upgrademysqlstatus unter Umgehung von secMiddleware (die nur für einen POST Anfrage) und unter Verwendung von Shell-Metazeichen in der statusfile-Eigenschaft, wie es im Oktober 2024 von PSAUX ausgenutzt wurde. |
CyberPanel (auch bekannt als Cyber Panel) vor 2.3.5 erlaubt Command Injection über vollständigenPfad in den ProcessUtilities.outputExecutioner() Senke. Dort ist /filemanager/upload (auch bekannt als Dateimanager-Upload) unauthentifizierte Remotecodeausführung über Shell-Metazeichen. |
| Datum der Offenlegung |
29. Oktober 2024 |
| Betroffene Vermögenswerte |
upgrademysqlstatus Endpunkt in databases/views.py in CyberPanel (alias Cyber Panel) vor 5b08cd6. |
vollständigerPfad in der Datei ProcessUtilities.outputExecutioner()-Senke und /dateimanager/upload vor |
| Anfällige Software-Versionen |
Versionen bis 2.3.6 und (ungepatchte) 2.3.7 sind betroffen. |
Vor der Version 2.3.5 |
| PoC verfügbar? |
A PoC für CVE-2024-51567 wurde veröffentlicht, zusammen mit einem technischen Beschreibung über beide Schwachstellen von dem Sicherheitsforscher DreyAnd, der sie entdeckt hat, veröffentlicht. |
| Verwertungsstatus |
CVE-2024-51567 wurde am 7. November 2024 zu CISA KEV hinzugefügt. Zum Zeitpunkt der Erstellung dieses Berichts wird diese Schwachstelle hauptsächlich von der Ransomware-Operation PSAUX und zwei weiteren Ransomware-Varianten genutzt. |
CVE-2024-51568 wurde nicht auf CISA KEV gemeldet oder in GreyNoise zum Zeitpunkt des Schreibens beobachtet. |
| Patch-Status |
CyberPanel hat einen umfassenden Sicherheitspatch veröffentlicht, der beide CVEs behebt. Detaillierte Informationen über die Schwachstellen und die entsprechenden Korrekturen finden Sie in den Änderungsprotokolle. Außerdem ist dieses Werkzeug zur Entschlüsselung von Geräten verwendet werden, die speziell durch PSAUX gesperrt sind. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 55,425 exponierte CyberPanel Webportale online, wobei etwa 25% in den Vereinigten Staaten konzentriert. Censys beobachtete etwa 31% der gefährdeten Instanzen mit Digital Ocean (ASN 14061) in Verbindung gebracht werden. Beachten Sie, dass nicht alle dieser Instanzen unbedingt anfällig sind, da keine spezifischen Geräteversionen verfügbar sind.
Karte der exponierten CyberPanel-Instanzen:
Wir haben die Tendenzen bei den exponierten CyberPanel-Instanzen in den letzten zwei Wochen vor und nach der Offenlegung grafisch dargestellt:
Am Tag vor dem Bekanntwerden der Schwachstellen wurde ein deutlicher Anstieg der beobachteten CyberPanel-Instanzen mit ~1k Geräten beobachtet. Nach der Veröffentlichung kam es zu einem starken Rückgang, wobei die Anzahl der Geräte in den folgenden Tagen jeden Tag um etwa 1 bis 2.000 abnahm.
Laut Informationen von LeakIXgibt es derzeit 3 verschiedene Ransomware-Gruppen, die auf anfällige CyberPanel-Geräte abzielen. Die Hinweis das letzte Woche veröffentlicht wurde, werden diese Gruppen ausführlicher beschrieben. Sie wurden mit den folgenden Dateierweiterungen in Verbindung gebracht:
.psaux -> Custom ransomware, script based
.encryp -> Variant from Babuk's source
.locked -> C3RB3R Conti v3-based Ransomware
Es gibt auch einige Beobachtungen dass auf PSAUX-infizierten CyberPanel-Hosts nach der Ausnutzung persistente Cryptominers installiert werden.
Wenn Sie eine öffentlich zugängliche CyberPanel-Instanz verwalten, wird empfohlen, das Problem sofort zu entschärfen, indem Sie entweder Patches installieren oder den Zugriff aus dem öffentlichen Internet beschränken.
Censys Search Abfrage:
services.software: (vendor="CyberPanel" and product="CyberPanel") and not labels: {tarpit, honeypot}
Censys ASM-Abfrage:
host.services.software.vendor="CyberPanel" AND host.services.software.product="CyberPanel"
LeakIX hat ein Entschlüsselungstool veröffentlicht hier veröffentlicht, das eine Verschlüsselungsschwäche in PSAUX ausnutzt. Für die beiden anderen Ransomware-Gruppen gibt es derzeit leider keine bekannten Abhilfen.
Referenzen
