Los ciberdelincuentes han aprovechado múltiples vulnerabilidades en CyberPanel para instalar ransomware y forzar la desconexión de decenas de miles de instancias. Sin embargo, las víctimas pueden tener suerte, ya que parece haber una clave de descifrado disponible.
Un investigador de ciberseguridad alias DreyAnd ha anunciado haber encontrado tres vulnerabilidades importantes en CyberPanel 2.3.6, y posiblemente 2.3.7, que permitían la ejecución remota de código y la ejecución de comandos arbitrarios del sistema.
Incluso publicaron una prueba de concepto (PoC) para demostrar cómo hacerse cargo de un servidor vulnerable.
Descifrando el ransomware
CyberPanel es un código abierto alojamiento web Panel de control que simplifica la gestión de servidores web y sitios web. Se desarrolló sobre LiteSpeed y permite a los usuarios administrar sitios web, bases de datos, dominios y correos electrónicos. CyberPanel es especialmente popular por su integración con el servidor OpenLiteSpeed de LiteSpeed y LSCache, que mejoran la velocidad y el rendimiento del sitio web.
Esto llevó a los desarrolladores de CyberPanel a publicar una solución y publicarla en GitHub. Quien descargue CyberPanel de GitHub o actualice una versión existente, obtendrá la solución. Sin embargo, la herramienta no obtuvo una nueva versión y a las vulnerabilidades no se les asignó un CVE.
Según lo informado por pitidocomputadorahabía más de 21.000 puntos finales vulnerables y conectados a Internet, aproximadamente la mitad de los cuales estaban ubicados en los EE. UU. Poco después de que se publicara la prueba de concepto, el número de casos visibles se redujo a apenas cientos. Algunos investigadores confirmaron que los actores de amenazas implementaron la variante de ransomware PSAUX, lo que obligó a los dispositivos a desconectarse. Al parecer, a través de CyberPanel se gestionaban más de cien mil dominios y bases de datos.
El ransomware PSAUX lleva el nombre de un proceso común de Linux y se dirige a sistemas basados en Linux. Aprovecha técnicas avanzadas para evitar la detección y garantizar la persistencia, lo que lo hace particularmente peligroso para empresas y organizaciones que ejecutan aplicaciones críticas en servidores Linux.
Sin embargo, la publicación agregó más tarde que un investigador de seguridad alias LeakIX lanzó un descifrador que puede revertir el daño causado por el ataque. Aun así, si los atacantes utilizaron una clave de cifrado diferente, intentar descifrarla podría dañar los datos, por lo que se recomienda crear una copia de seguridad antes de intentar descifrarlo.