CyberPanel缝隙超两万个服务器遭PSAUX勒索软件进犯

  超越22,000个CyberPanel服务器因严峻长途代码履行（RCE）缝隙露出在线，遭PSAUX勒索软件进犯后中简直悉数下线。

  本周，安全研究员DreyAnd披露了CyberPanel 2.3.6（或许还有2.3.7）存在三个不同的安全问题，这样一些问题可以导致一个缝隙，答应未经认证的长途根拜访。

  1. 认证缺点：CyberPanel对每个页面别离查看用户认证（登录），而不是运用一个中心体系，使得某些页面或路由（如‘upgrademysqlstatus’）不受未授权拜访的维护。

  2. 指令注入：在未受维护的页面上的用户输入没有正真取得正确整理，使得进犯者可以注入并履行恣意体系指令。

  3. 安全过滤器绕过：安全中心件只过滤POST恳求，答应进犯者运用其他HTTP办法，如OPTIONS或PUT来绕过它。

  研究员DreyAnd开发了一个概念验证缝隙程序，以演示在服务器上履行根等级的长途指令，使他可以彻底操控服务器。

  研究员表明，他们在2024年10月23日向CyberPanel开发者披露了这个缝隙，当天晚上就在GitHub上提交了修正认证问题的补丁。

  CyberPanel还发布了关于缝隙和正在进行的进犯的安全正告，以及用户该怎么样维护他们的体系。

  10月28日，要挟情报搜索引擎LeakIX陈述称，有21,761个易受进犯的CyberPanel实例露出在线）在美国。

  但是，一夜之间，受影响服务器数量奥秘地下降到只要大约400个，LeakIX告知BleepingComputer，受影响的服务器现已不行拜访。

  网络安全研究员Gi7w0rm在X上发推文称，这些服务器办理着超越152,000个域名和数据库，CyberPanel作为中心拜访和办理体系。

  PSAUX勒索软件举动自2024年6月以来一直在进行，经过缝隙和装备过错针对露出的Web服务器。

  在服务器上启动时，勒索软件将创立一个共同的AES密钥和IV，并运用它们来加密服务器上的文件。加密的文件将在文件名后附加.psaux扩展名。

  勒索软件还会在每个文件夹中创立名为index.html的勒索信，并将勒索信复制到/etc/motd，以便在用户登录设备时显现。

  LeakIX和Chocapikk取得了这次进犯中运用的脚本，这中心还包含一个名为ak47.py的脚本，用于运用CyberPanel缝隙，以及另一个名为actually.sh的脚本用于加密文件。

  因为PSAUX勒索软件加密文件的方法存在缺点，可以正常的运用LeakIX创立的解密器免费解密文件。

  需求留意的是，假如要挟行为者运用不相同的加密密钥，那么运用过错的密钥解密或许会损坏您的数据。因而，在测验运用此解密器之前，请务必先备份您的数据，以测验其是否有用。

  在媒体报道后，LeakIX确认除了PSAUX勒索软件外，还安装了一个暗码钱银挖矿机，而且还有别的两个勒索软件举动针对这个缝隙，这些变体在加密文件的称号后别离附加了.locked或.encrypted扩展名。

  因为CyberPanel缝隙被活跃运用，强烈建议用户赶快升级到GitHub上的最新版别。

  特别声明：以上内容(如有图片或视频亦包含在内)为自媒体渠道“网易号”用户上传并发布，本渠道仅供给信息存储服务。

  四川西昌再通报一学生坠楼身亡：2名邻班学生被处分，校园及相关责任人员被追质问责