Fecha de divulgación: 29 de octubre de 2024
Fecha añadida a CISA KEV: 7 de noviembre de 2024 (CVE-2024-51567)
La semana pasada informamos sobre CVE-2024-51378una vulnerabilidad crítica de ejecución remota de código (RCE) no autenticada en CyberPanel a través del método getresetstatus que está siendo explotada activamente por varias bandas de ransomware, incluida la operación PSAUX.
En el momento de publicar nuestro aviso anterior, observamos 60.935 dispositivos CyberPanel expuestos. Desde entonces, este número ha disminuido en aproximadamente 4.000, y nuestra evaluación actual identifica 55.425 dispositivos expuestos.
Otras dos vulnerabilidades críticas de CyberPanel reveladas al mismo tiempo fueron CVE-2024-51567, añadido a CISA KEV ayer y ahora también objetivo del ransomware, y CVE-2024-51568.
CVE-2024-51378 y CVE-2024-51567 afectan a las versiones hasta 2.3.6 y 2.3.7 sin parchear, mientras que CVE-2024-51568 afecta a las versiones 2.3.5 y anteriores. Las tres vulnerabilidades tienen la máxima puntuación de gravedad CVSS de 10,0 por MITRE y pueden conducir a RCE no autenticado, aunque residen en diferentes componentes de CyberPanel.
CVE-2024-51567 explota la vulnerabilidad upgrademysqlstatus en databases/views.py antes de 5b08cd6permitiendo a atacantes remotos saltarse la autenticación y ejecutar comandos arbitrarios a través de /dataBases/upgrademysqlstatus saltándose secMiddleware (que sólo es para un comando POST y utilizando metacaracteres de shell en la propiedad statusfile, tal y como fue explotado in the wild en octubre de 2024 por PSAUX.
CVE-2024-51568 permite la inyección de comandos a través de completePath en la función ProcessUtilities.outputExecutioner() sink. Un actor remoto no autenticado puede enviar una solicitud especialmente diseñada al archivo /gestordearchivos/upload (también conocido como File Manager upload) para permitir la ejecución remota de código sin autenticación a través de metacaracteres de shell.
CyberPanel is an open-source web hosting control panel built specifically to work with the LiteSpeed Web Server. CyberPanel is typically accessible over the public internet through a web based interface on TCP/8090 by default. Once installed on a server, users can log into CyberPanel by navigating to http://<server-ip>:8090. This interface is accessible globally, provided there are no network restrictions or firewall rules blocking the port.
Portal Web CyberPanel expuesto
| Campo |
Detalles |
| CVE-ID |
CVE-2024-51567 - CVSS 10.0 (Crítico) asignado por Mitre |
CVE-2024-51568 - CVSS 10.0 (Crítico) asignado por Mitre |
| Descripción de la vulnerabilidad |
upgrademysqlstatus en bases de datos/views.py en CyberPanel antes de 5b08cd6 permite a atacantes remotos saltarse la autenticación y ejecutar comandos arbitrarios a través de /dataBases/upgrademysqlstatus saltándose secMiddleware (que sólo es para un comando POST y utilizando metacaracteres de shell en la propiedad statusfile, tal y como fue explotado in the wild en octubre de 2024 por PSAUX. |
CyberPanel (también conocido como Cyber Panel) antes de 2.3.5 permite la inyección de comandos a través de ruta completa en el ProcessUtilities.outputExecutioner(). Existe /gestordearchivos/upload (también conocido como File Manager upload) ejecución remota de código no autenticada a través de metacaracteres de shell. |
| Fecha de divulgación |
29 de octubre de 2024 |
| Activos afectados |
upgrademysqlstatus en bases de datos/views.py en CyberPanel (también conocido como Cyber Panel) antes de 5b08cd6. |
completePath en ProcessUtilities.outputExecutioner() y /gestordearchivos/upload antes de |
| Versiones de software vulnerables |
Versiones hasta 2.3.6 y (sin parchear) 2.3.7 están afectadas. |
Antes de la versión 2.3.5 |
| ¿PoC disponible? |
A PoC para CVE-2024-51567 junto con un informe técnico que cubre ambas vulnerabilidades por el investigador de seguridad DreyAnd, quien las descubrió. |
| Estado de explotación |
CVE-2024-51567 se añadió a CISA KEV el 7 de noviembre de 2024. En el momento de escribir este artículo, esta vulnerabilidad está siendo atacada principalmente por la operación de ransomware PSAUX, junto con otras dos variantes de ransomware. |
CVE-2024-51568 no fue reportado en CISA KEV ni observado en GreyNoise en el momento de escribir este artículo. |
| Estado del parche |
CyberPanel ha publicado un parche de seguridad completo que soluciona ambos CVE. Puede encontrar información detallada sobre las vulnerabilidades y las correcciones correspondientes en sus registros de cambios. Además, esta herramienta puede utilizarse para descifrar dispositivos bloqueados específicamente por PSAUX. |
Censys Perspectiva
En el momento de redactar este informe, Censys observó 55,425 portales web CyberPanel expuestos en línea, con cerca del 25% concentrado en los Estados Unidos. Censys observó alrededor del 31% de las instancias expuestas estaban asociadas a Digital Ocean (ASN 14061). Nótese que no todas ellas son necesariamente vulnerables, ya que no se dispone de las versiones específicas de los dispositivos.
Mapa de instancias CyberPanel expuestas:
Hemos trazado las tendencias de las instancias de CyberPanel expuestas durante las dos semanas anteriores y posteriores a la revelación:
Observamos un pico significativo en las instancias de CyberPanel observadas el día antes de que se revelaran las vulnerabilidades, con ~1.000 dispositivos. Tras la divulgación, se produjo un fuerte descenso, con un recuento de dispositivos que disminuyó en aproximadamente 1-2k cada día durante los días siguientes.
Según información de LeakIXactualmente se han observado 3 grupos distintos de ransomware dirigidos a dispositivos CyberPanel vulnerables. El aviso publicado la semana pasada habla de estos grupos con más detalle. Se han asociado con las siguientes extensiones de archivo respectivas:
.psaux -> Custom ransomware, script based
.encryp -> Variant from Babuk's source
.locked -> C3RB3R Conti v3-based Ransomware
También se han observaciones de criptomineros persistentes que se instalan en hosts CyberPanel infectados con PSAUX después de la explotación.
Si usted administra una instancia de CyberPanel de cara al público, se recomienda mitigarlo inmediatamente ya sea parcheando o restringiendo el acceso desde la Internet pública.
Censys Consulta de búsqueda:
services.software: (vendor="CyberPanel" and product="CyberPanel") and not labels: {tarpit, honeypot}
Censys Consulta ASM:
host.services.software.vendor="CyberPanel" AND host.services.software.product="CyberPanel"
LeakIX ha publicado una herramienta de descifrado aquí que aprovecha una debilidad de cifrado en PSAUX. Lamentablemente, por el momento no se conocen soluciones para los otros dos grupos de ransomware.
Referencias
