Bir tehdit aktörü (veya muhtemelen birkaçı), CyberPanel’in yaklaşık 22.000 savunmasız örneğini ve onu çalıştıran sunuculardaki PSAUX ve diğer fidye yazılımlarıyla şifrelenmiş dosyaları ele geçirdi.
PSAUX fidye notu (Kaynak: LeakIX)
CyberPanel güvenlik açıkları
CyberPanel, web sitelerini barındırmak için kullanılan sunucuları yönetmek için kullanılan, yaygın olarak kullanılan açık kaynaklı bir kontrol panelidir.
CyberPanel 2.3.6 ve (düzeltme eklenmemiş) 2.3.7 sürümlerini etkileyen iki kritik komut ekleme güvenlik açığı (CVE-2024-51378 ve CVE-2024-51567), bu haftanın başlarında güvenlik araştırmacıları tarafından kamuya açık olarak belgelendi: refr4g Ve DreyAnd – bunları kim ortaya çıkardı ve rapor etti?
Gönderiler, panel yöneticilerinin, saldırganların kimlik doğrulama gereksinimlerini atlamasına ve sunucuda rastgele komutları uzaktan yürütmesine olanak tanıyan çok benzer iki kusur için düzeltmeler gerçekleştirmesinden sadece birkaç gün sonra kamuoyuna açıklandı.
CyberPanel yöneticileri güvenlik yamalarının yayınlandığını duyurdular ancak o sırada yazılımın daha yeni bir sürümünü yayınlamadılar veya kusurlara CVE numaraları atamadılar. En son CyberPanel sürümü v2.3.7’dir ve daha önce de belirtildiği gibi, yükseltme işlevi kullanılarak düzeltmeler uygulanmadıysa savunmasızdır.
Ne yazık ki birden fazla fidye yazılımı grubu, bir veya iki güvenlik açığından yararlanma fırsatını hemen değerlendirdi.
Siber güvenlik şirketi LeakIX’e göre Pazartesi günü yaklaşık 22.000 savunmasız CyberPanel örneği çevrimiçi ortamda açığa çıktı ve Salı günü bu sayı 400 civarına düştü.
Şirket, “Görünüşe göre birisi biraz cesaret gösterip 20 bin CyberPanel örneğini sildi ve hepsi 500’lere yanıt vermeye başladı” dedi.
PSAUX şifre çözücü mevcut
Tehdit aktörlerinin saldırısına uğrayan kullanıcılar, CyberPanel’in topluluk forumunda yanıt arıyor.
LeakIX, şifrelenmiş dosyalara .psaux uzantısı ekleyen fidye yazılımından etkilenenler için bir şifre çözücü oluşturdu.
“Birden fazla grubun rekabet edip etmediğini veya senaryolarını değiştirip değiştirmediklerini bilmiyoruz [to add the .encryp and .locked extensions instead of .psaux]LeakIX CTO’su Gregory Boddin diyor.
Durum hızla gelişiyor ve daha fazlasını öğrendiğimizde bu makaleyi güncelleyeceğiz.