22.000 CyberPanel-servers via kritiek lek besmet met ransomware en offline

[Captain Kirk]

Aanvallers hebben via kritieke kwetsbaarheden in CyberPanel 22.000 servers met ransomware geïnfecteerd, die daardoor offline gingen, zo stellen onderzoekers en securitybedrijf LeakIX. Voor getroffen gebruikers is inmiddels een gratis decryptor beschikbaar. CyberPanel is een webhosting controlepaneel voor het beheren van webservers en websites, vergelijkbaar met het bekende cPanel. Kwetsbaarheden in de software maken het mogelijk voor een ongeauthenticeerde aanvaller om als root commando's op de server uit te voeren.

CyberPanel werd door twee beveiligingsonderzoekers over de problemen ingelicht. De ontwikkelaar vroeg op 23 oktober aan één van de onderzoekers met het alias DreyAnd om 'een aantal dagen' te wachten met het publiceren van details. Op 27 oktober maakte de onderzoeker details en proof-of-concept exploitcode beschikbaar. Op dat moment was er volgens de onderzoeker nog geen update aan gebruikers aangeboden en ook nog geen CVE-nummer aan de kwetsbaarheden toegekend.

CyberPanel liet gisteren weten dat het de beveiligingsupdate stilletjes aan een routine update had toegevoegd, zonder dit aan gebruikers te laten weten. Daarnaast had het de onderzoekers gevraagd vooralsnog geen details te delen, om zo gebruikers de tijd te geven om te updaten. Uiteindelijk verschenen details van de kwetsbaarheden online, wat volgens CyberPanel voor zorgen bij gebruikers zorgde. De ontwikkelaar heeft besloten om vooralsnog geen details over de kwetsbaarheid vrij te geven, maar zegt dit later wel te zullen doen. De beveiligingslekken hebben inmiddels wel een CVE-nummer (CVE-2024-51567 en CVE-2024-51568).

De onderzoeker DreyAnd erkent dat hij een fout heeft gemaakt met het te vroeg vrijgeven van de details en exploitcode. Securitybedrijf LeakIX meldde maandag dat er 22.000 kwetsbare CyberPanel-servers op internet te vinden waren, waarvan een kleine vijfhonderd in Nederland. Het grootste deel daarvan was gisteren offline en gecompromitteerd, aldus LeakIX en een onderzoeker met het alias Gi7w0rm. De servers zijn getroffen door de PSAUX-ransomware. De aanvallers eisen tweehonderd dollar losgeld voor het ontsleutelen van versleutelde data. Gisterenavond maakte LeakIX bekend dat het een gratis decryptor voor getroffen servers heeft ontwikkeld, zodat gebruikers en beheerders hun data kunnen terugkrijgen.

 

bron: https://www.security.nl