CyberPanel漏洞，超两万个服务器遭PSAUX勒索软件攻击

超过22,000个CyberPanel服务器因严重远程代码执行（RCE）漏洞暴露在线，遭PSAUX勒索软件攻击后中几乎全部下线。

CyberPanel漏洞披露

本周，安全研究员DreyAnd披露了CyberPanel 2.3.6（可能还有2.3.7）存在三个不同的安全问题，这些问题可以导致一个漏洞，允许未经认证的远程根访问。

具体来说，研究员在CyberPanel版本2.3.6中发现了以下问题：

1. 认证缺陷：CyberPanel对每个页面分别检查用户认证（登录），而不是使用一个中心系统，使得某些页面或路由（如‘upgrademysqlstatus’）不受未授权访问的保护。

2. 命令注入：在未受保护的页面上的用户输入没有得到正确清理，使得攻击者可以注入并执行任意系统命令。

3. 安全过滤器绕过：安全中间件只过滤POST请求，允许攻击者使用其他HTTP方法，如OPTIONS或PUT来绕过它。

研究员DreyAnd开发了一个概念验证漏洞程序，以演示在服务器上执行根级别的远程命令，使他能够完全控制服务器。

研究员表示，他们在2024年10月23日向CyberPanel开发者披露了这个漏洞，当天晚上就在GitHub上提交了修复认证问题的补丁。

CyberPanel的创建者Usman Nasir告诉BleepingComputer，2.3.8版本已经发布，并且在收到安全披露后的三十分钟内修复了漏洞。

CyberPanel还发布了关于漏洞和正在进行的攻击的安全警告，以及用户应该如何保护他们的系统。

被PSAUX勒索软件针对性攻击

10月28日，威胁情报搜索引擎LeakIX报告称，有21,761个易受攻击的CyberPanel实例暴露在线，其中近一半（10,170）在美国。

然而，一夜之间，受影响服务器数量神秘地下降到只有大约400个，LeakIX告诉BleepingComputer，受影响的服务器已经不可访问。

网络安全研究员Gi7w0rm在X上发推文称，这些服务器管理着超过152,000个域名和数据库，CyberPanel作为中央访问和管理系统。

LeakIX现在告诉BleepingComputer，威胁行为者大规模利用暴露的CyberPanel服务器安装PSAUX勒索软件。

PSAUX勒索软件行动自2024年6月以来一直在进行，通过漏洞和配置错误针对暴露的Web服务器。

在服务器上启动时，勒索软件将创建一个独特的AES密钥和IV，并使用它们来加密服务器上的文件。加密的文件将在文件名后附加.psaux扩展名。

勒索软件还会在每个文件夹中创建名为index.html的勒索信，并将勒索信复制到/etc/motd，以便在用户登录设备时显示。

完成后，AES密钥和IV将使用附带的RSA密钥加密并保存为/var/key.enc和/var/iv.enc。

LeakIX和Chocapikk获得了这次攻击中使用的脚本，其中包括一个名为ak47.py的脚本，用于利用CyberPanel漏洞，以及另一个名为actually.sh的脚本用于加密文件。

由于PSAUX勒索软件加密文件的方式存在缺陷，可以使用LeakIX创建的解密器免费解密文件。

需要注意的是，如果威胁行为者使用不同的加密密钥，那么使用错误的密钥解密可能会损坏您的数据。因此，在尝试使用此解密器之前，请务必先备份您的数据，以测试其是否有效。

在媒体报道后，LeakIX确定除了PSAUX勒索软件外，还安装了一个加密货币挖矿机，并且还有另外两个勒索软件行动针对这个漏洞，这些变体在加密文件的名称后分别附加了.locked或.encrypted扩展名。

由于CyberPanel漏洞被积极利用，强烈建议用户尽快升级到GitHub上的最新版本。