Jetzt patchen! Ransomware-Attacken auf Server mit CyberPanel beobachtet
Angreifer nutzen kritische Schwachstellen in Servern aus, auf denen CyberPanel installiert ist. Eine abgesicherte Version ist verfügbar.
Derzeit haben es Angreifer der Ransomwarebande PSAUX auf Server mit dem Control Panel CyberPanel abgesehen. Mittlerweile haben die Entwickler einen Sicherheitspatch veröffentlicht. Admins müssen jetzt handeln.
Die Warnung vor den Attacken stammt aus dem Supportbereich der CyberPanel-Website. Das Problem sind öffentlich erreichbare Admin-Interfaces, an denen die Angreifer zwei "kritischen" Sicherheitslücken (CVE-2024-51567, CVE-2024-51568) ausnutzen.
Sicherheitsprobleme
Die Schwachstellen hat ein Sicherheitsforscher mit dem Pseudonym DreyAnd entdeckt. In einem Beitrag beschreibt er die Sicherheitsproblematik ausführlich. Bei seiner Untersuchung stieß er auf drei Kernprobleme: CyberPanel prüft die Authentifizierung nicht global, sondern für einzelne Unterseiten. Das führe dazu, dass bestimmte Bereiche nicht durch eine Authentifizierung geschützt sind. Zusätzlich werden Nutzereingaben nicht ausreichend bereinigt, sodass Befehle mit Schadcode durchkommen können. Außerdem waren Sicherheitsfilterregeln vergleichsweise einfach umgehbar.
Dadurch sind Attacken aus der Ferne ohne Authentifizierung möglich und Angreifer können mit Root-Rechten auf Server zugreifen. In so einer Position sind weitreichende Zugriffe möglich, und Angreifer können Systeme vollständig kompromittieren. Medienberichten zufolge haben die PSAUX-Angreifer bereits rund 22.000 Instanzen attackiert.
Jetzt patchen!
Von den Lücken sind die CyberPanel-Versionen 2.3.5, 2.3.6 und 2.3.7 bedroht. Admins sollten die aktuelle Version zügig über die Upgradefunktion installieren. Die Bezeichnung der reparierten Ausgabe nennen die Entwickler derzeit nicht konkret.
(des)