image

'22.000 CyberPanel-servers via kritiek lek besmet met ransomware en offline'

woensdag 30 oktober 2024, 09:47 door Redactie, 2 reacties

Aanvallers hebben via kritieke kwetsbaarheden in CyberPanel 22.000 servers met ransomware geïnfecteerd, die daardoor offline gingen, zo stellen onderzoekers en securitybedrijf LeakIX. Voor getroffen gebruikers is inmiddels een gratis decryptor beschikbaar. CyberPanel is een webhosting controlepaneel voor het beheren van webservers en websites, vergelijkbaar met het bekende cPanel. Kwetsbaarheden in de software maken het mogelijk voor een ongeauthenticeerde aanvaller om als root commando's op de server uit te voeren.

CyberPanel werd door twee beveiligingsonderzoekers over de problemen ingelicht. De ontwikkelaar vroeg op 23 oktober aan één van de onderzoekers met het alias DreyAnd om 'een aantal dagen' te wachten met het publiceren van details. Op 27 oktober maakte de onderzoeker details en proof-of-concept exploitcode beschikbaar. Op dat moment was er volgens de onderzoeker nog geen update aan gebruikers aangeboden en ook nog geen CVE-nummer aan de kwetsbaarheden toegekend.

CyberPanel liet gisteren weten dat het de beveiligingsupdate stilletjes aan een routine update had toegevoegd, zonder dit aan gebruikers te laten weten. Daarnaast had het de onderzoekers gevraagd vooralsnog geen details te delen, om zo gebruikers de tijd te geven om te updaten. Uiteindelijk verschenen details van de kwetsbaarheden online, wat volgens CyberPanel voor zorgen bij gebruikers zorgde. De ontwikkelaar heeft besloten om vooralsnog geen details over de kwetsbaarheid vrij te geven, maar zegt dit later wel te zullen doen. De beveiligingslekken hebben inmiddels wel een CVE-nummer (CVE-2024-51567 en CVE-2024-51568).

De onderzoeker DreyAnd erkent dat hij een fout heeft gemaakt met het te vroeg vrijgeven van de details en exploitcode. Securitybedrijf LeakIX meldde maandag dat er 22.000 kwetsbare CyberPanel-servers op internet te vinden waren, waarvan een kleine vijfhonderd in Nederland. Het grootste deel daarvan was gisteren offline en gecompromitteerd, aldus LeakIX en een onderzoeker met het alias Gi7w0rm. De servers zijn getroffen door de PSAUX-ransomware. De aanvallers eisen tweehonderd dollar losgeld voor het ontsleutelen van versleutelde data. Gisterenavond maakte LeakIX bekend dat het een gratis decryptor voor getroffen servers heeft ontwikkeld, zodat gebruikers en beheerders hun data kunnen terugkrijgen.

Reacties (2)
Gisteren, 14:40 door Anoniem
Deze applicatie wordt veel gebruikt voor php management en phpMyAdmin tbv van wordpress denk ik. Vraag mij wel af waarom deze software root toegang nodig heeft.
Dat de ontwikkelaar een paar dagen vroeg voor een fix maar dat dit niet werd gehonoreerd ( maakte de onderzoeker details en proof-of-concept exploitcode beschikbaar) vind ik wel zorgelijk.
Gisteren, 18:52 door Anoniem
Door Anoniem: Deze applicatie wordt veel gebruikt voor php management en phpMyAdmin tbv van wordpress denk ik. Vraag mij wel af waarom deze software root toegang nodig heeft.
Dat de ontwikkelaar een paar dagen vroeg voor een fix maar dat dit niet werd gehonoreerd ( maakte de onderzoeker details en proof-of-concept exploitcode beschikbaar) vind ik wel zorgelijk.

zeker omdat clubjes als microsoft (6 weken) en google (2 weken) er over doen om uberhaupt te bewegen...
zeggen dat er geen CVE is aangemaakt en dus maar de boel op internet gooien klinkt als een concurent zieken...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.