Hacker looking at screens

重大なリモートコード実行(RCE)の脆弱性にオンラインでさらされた22,000以上のCyberPanelインスタンスが、ほぼすべてのインスタンスをオフラインにするPSAUXランサムウェア攻撃で大量に標的にされました。

今週、セキュリティ研究者の DreyAnd 氏は、CyberPanel 2.3.6 (およびおそらく 2.3.7) には、認証なしのリモート root アクセスを可能にするエクスプロイトの原因となる、3つの異なるセキュリティ上の問題があることを明らかにしました。

具体的には、研究者は CyberPanel バージョン 2.3.6 で以下の問題を発見しました:

  1. 認証の欠陥: CyberPanel は、中央システムを使用する代わりに、各ページで個別にユーザー認証(ログイン)をチェックするため、’upgrademysqlstatus’ のような特定のページやルートが不正アクセスから保護されないままになっています。
  2. コマンドインジェクション:保護されていないページのユーザ入力は適切にサニタイズされないため、攻撃者は任意のシステムコマンドを注入して実行することができます。
  3. セキュリティフィルターのバイパス:セキュリティ・ミドルウェアは POST リクエストのみをフィルタリングするため、攻撃者は OPTIONS や PUT のような他の HTTP メソッドを使用してこれをバイパスすることができます。
Achieving command execution with root privileges
root 権限でのコマンド実行の実現
Source:DreyAnd

研究者のDreyAnd氏は、サーバー上でルートレベルのリモートコマンド実行を実証する概念実証のエクスプロイトを開発し、サーバーを完全に制御できるようにした。

DreyAnd氏は、当時2.3.7バージョンにアクセスできなかったため、バージョン2.3.6上でのみエクスプロイトをテストできたと語った。しかし、2.3.7はバグが発見される前の9月19日にリリースされたため、同様に影響を受けた可能性が高い。

研究者によると、2024年10月23日にCyberPanelの開発者にこの不具合を開示し、その日の夜にGitHubで認証問題の修正プログラムが提出された。

GitHubまたはアップグレードプロセスからCyberPanelをインストールした人は誰でもセキュリティ修正を受けることができますが、開発者はソフトウェアの新バージョンをリリースしておらず、CVEも発行していません。

CyberPanel社に連絡を取り、新バージョンのリリースやセキュリティに関するアナウンスの予定時期を尋ねたが、まだ回答待ちである。

PSAUX ランサムウェア攻撃の標的

昨日、脅威情報検索エンジンのLeakIXは、21,761の脆弱なCyberPanelインスタンスがオンラインで公開され、その約半数(10,170)が米国にあったことを報告しました

Location of the exposed, vulnerable instances
暴露された脆弱なインスタンスの場所
ソースはこちら:LeakIX|エックス

しかし、一夜にしてインスタンス数は不思議なことに約400インスタンスにまで減少し、LeakIXは影響を受けたサーバーにはもはやアクセスできないとしている。

サイバーセキュリティ研究者のGi7w0rmはXで、これらのインスタンスが152,000以上のドメインとデータベースを管理しており、CyberPanelが中央アクセス管理システムとして機能していたとツイートした

LeakIXは現在、脅威行為者が暴露されたCyberPanelサーバーを大量に悪用してPSAUXランサムウェアをインストールしたと伝えている。

PSAUXランサムウェアは、2024年6月以来、脆弱性や設定ミスによって露出したウェブサーバーを標的としています。

PSAUX ransom note
PSAUX ランサムノート
ソースはこちら:LeakIX

サーバー上で起動すると、このランサムウェアは固有のAESキーとIVを作成し、それらを使用してサーバー上のファイルを暗号化します。

ランサムウェアはまた、index.htmlという名前のランサムノートを各フォルダに作成し、ランサムノートを/etc/motdにコピーするため、ユーザーがデバイスにログインすると表示される。

完了すると、AESキーとIVは同封のRSAキーを使って暗号化され、/var/key.encと /var/iv.encとして保存される。

LeakIXとChocapikkはこの攻撃で使用されたスクリプトを入手した。このスクリプトには、CyberPanelの脆弱性を悪用するak47.pyスクリプトと、ファイルを暗号化するactually.shという スクリプトが含まれている。

しかし、ファイルを無料で復号化できる可能性がある弱点が見つかっており、研究者は現在、それが可能かどうかを調査している。

CyberPanelの欠陥が積極的に悪用されているため、ユーザーはできるだけ早くGitHubの最新バージョンにアップグレードすることを強く推奨する。

10/29/24更新: LeakIXは、このキャンペーンで暗号化されたファイルを復号化するために使用できる復号化ツールをリリースしました。

脅威者が異なる暗号鍵を使用していた場合、間違った暗号鍵で復号化するとデータが破損する可能性があることに注意すべきである。

そのため、この復号化ツールを使用する前に、必ずデータのバックアップを作成し、動作することを確認してください。