ช่องโหว่ของ CyberPanel ถูกใช้ประโยชน์เพื่อเจาะระบบหลายพันรายการเป็นส่วนหนึ่งของการโจมตีด้วย ransomware
ภัยไซเบอร์โจมตี CyberPanel หลังจากเปิดเผยช่องโหว่
ผู้โจมตีทางไซเบอร์เริ่มใช้ประโยชน์จากช่องโหว่ที่ค้นพบใน CyberPanel ภายในไม่กี่ชั่วโมงหลังจากการเปิดเผย ทำให้หลายพันระบบถูกโจมตีด้วย ransomware และสคริปต์ขุด cryptocurrency
CyberPanel เป็นแผงควบคุมโฮสติ้งเว็บฟรีที่ได้รับความนิยม นักวิจัยที่ใช้ชื่อออนไลน์ว่า DreyAnd ค้นพบเมื่อเร็วๆ นี้ว่าซอฟต์แวร์นี้ได้รับผลกระทบจากช่องโหว่ที่สามารถถูกใช้ประโยชน์เพื่อการรันโค้ดจากระยะไกลโดยไม่ต้องมีสิทธิ์การเข้าถึง
DreyAnd รายงานการค้นพบของเขาไปยังนักพัฒนา CyberPanel ซึ่งได้สร้างแพตช์เมื่อวันที่ 23 ตุลาคม ไม่กี่วันต่อมา ในวันที่ 27 ตุลาคม นักวิจัยได้เปิดเผยรายละเอียดทางเทคนิคของการค้นพบของเขา พร้อมกับโค้ด Proof-of-Concept (PoC)
LeakIX บริษัทที่ค้นหาระบบที่อ่อนแอทางออนไลน์ เริ่มตรวจสอบอินสแตนซ์ CyberPanel ในวันรุ่งขึ้น และภายในวันที่ 29 ตุลาคม ได้ยืนยันการโจมตีจำนวนมากแล้ว
ตามข้อมูลของ LeakIX มีอินสแตนซ์ประมาณ 22,000 อินสแตนซ์ออนไลน์ในวันที่ 28 ตุลาคม โดยประมาณครึ่งหนึ่งอยู่ในสหรัฐอเมริกา ในวันรุ่งขึ้น จำนวนลดลงเหลือเพียงไม่กี่ร้อย แต่ไม่ใช่เพราะอินสแตนซ์ได้รับการแพตช์ แต่เพราะถูกแฮ็กและไม่สามารถเข้าถึงได้อีกต่อไป
อินสแตนซ์ CyberPanel 20,000 รายการที่ถูกโจมตีครอบคลุมเว็บไซต์ประมาณ 200,000 เว็บไซต์
การวิเคราะห์แสดงให้เห็นว่า อินสแตนซ์ CyberPanel ที่อ่อนแอถูกโจมตีโดย ransomware Psaux ผู้โจมตีเข้ารหัสไฟล์บนเซิร์ฟเวอร์ที่ถูกโจมตีและเรียกค่าไถ่เพื่อแลกกับการถอดรหัส
การอัปเดตล่าสุดจาก LeakIX เปิดเผยว่า กลุ่ม ransomware มากถึงสามกลุ่มได้โจมตีอินสแตนซ์ CyberPanel โดยแต่ละกลุ่มเข้ารหัสไฟล์ ในบางกรณีรวมถึงไฟล์ที่เคยถูกเข้ารหัสโดย ransomware อื่นๆ
มีการสร้างเครื่องมือถอดรหัสสำหรับ ransomware Psaux และนักวิจัยกำลังทำงานเพื่อสร้างเครื่องมือถอดรหัสสำหรับรายอื่นๆ ในบางกรณี วิธีการเข้ารหัสแบบมีข้อผิดพลาดที่ใช้โดย Psaux “ทำให้ทุกอย่างพัง” ตามที่ LeakIX กล่าว
นอกจากนี้ LeakIX ยังรายงานว่าพบสคริปต์ขุด cryptocurrency ถูกติดตั้งบนเซิร์ฟเวอร์ที่ถูกโจมตีบางส่วน
ตอบสนองต่อการวิจารณ์เกี่ยวกับการเปิดเผยที่เร่งรีบ DreyAnd ยอมรับว่าพลาดพลั้ง โดยอ้างว่าเขาไม่รู้ว่าโฮสต์จำนวนมากจะได้รับผลกระทบจากช่องโหว่เหล่านี้ เขายังตั้งข้อสังเกตว่านักพัฒนา CyberPanel อนุญาตให้เขาเปิดเผยผลการค้นหาต่อสาธารณะ
นักพัฒนา CyberPanel ได้กำหนดตัวระบุ CVE CVE-2024-51567 และ CVE-2024-51568 ในประกาศแจ้งลูกค้า CyberPanel ได้ให้คำแนะนำเกี่ยวกับการแพตช์และการตอบสนองเหตุการณ์ และยังแบ่งปันเรื่องราวของตนเองอีกด้วย
“เมื่อผู้เชี่ยวชาญแจ้งให้เราทราบเกี่ยวกับปัญหานี้ เราได้ตรวจสอบผลการค้นหาของพวกเขาทันทีและปล่อยแพตช์ความปลอดภัยภายใน 30 นาที” CyberPanel กล่าว “ต่อมาพวกเขาแนะนำให้เราประกาศปัญหานี้อย่างเปิดเผย แต่เราขอให้เลื่อนออกไปเพื่อให้เวลาแก่ผู้ใช้ในการอัปเดตเพื่อเหตุผลด้านความปลอดภัย แม้ว่าเราจะไม่ได้ประกาศในตอนแรก แต่การอัปเดตรายวันก็รวมถึงแพตช์ความปลอดภัย”
ในที่สุด เหตุการณ์นี้ดูเหมือนจะเป็นผลมาจากการสื่อสารที่ไม่ดีระหว่างนักวิจัยด้านความปลอดภัยและผู้ขาย โดยผู้ใช้ต้องจ่ายราคา
Credit: Securityweek.com
