Miles de servidores están en la mira. Un ransomware llamado PSAUX ha infectado ya más de 22,000 instancias de CyberPanel, poniendo en jaque la seguridad de sitios web, datos confidenciales y operaciones esenciales alrededor del mundo. Recientemente se descubrió que las versiones de CyberPanel 2.3.6 (y posiblemente también la 2.3.7) tienen tres fallos de seguridad distintos que pueden abrir la puerta a ataques que permiten acceso remoto root sin necesidad de autenticación.
¿Qué es CyberPanel?
CyberPanel es un panel de control de hosting de código abierto basado en OpenLiteSpeed. Es una herramienta popular entre desarrolladores y administradores de sistemas por su facilidad de uso, su compatibilidad con sitios web de WordPress y su capacidad de administración de múltiples dominios. Sin embargo, como cualquier software que gestiona datos sensibles, es un objetivo atractivo para los ciberdelincuentes.
El ataque de ransomware PSAUX se aprovecha de vulnerabilidades presentes en algunas configuraciones de CyberPanel, infectando y cifrando los archivos del servidor. En la versión 2.3.6 de CyberPanel se identificaron tres fallos de seguridad críticos:
-
Autenticación débil (CVE-2024-51567): En lugar de tener un sistema de autenticación central, CyberPanel verifica el inicio de sesión en cada página por separado. Esto deja algunas rutas (como 'upgrademysqlstatus') sin protección, permitiendo que usuarios no autorizados accedan a ciertas secciones.
-
Inyección de comandos (CVE-2024-51568): Las páginas sin suficiente protección no limpian correctamente las entradas de los usuarios, lo que abre la puerta para que atacantes inserten y ejecuten comandos en el sistema.
-
Fallo en el filtro de seguridad (CVE-2024-51378): El sistema de seguridad solo filtra las solicitudes que usan el método POST, lo que permite a los atacantes saltarse el filtro usando otros métodos HTTP, como OPTIONS o PUT.
Estos problemas dejan a los servidores vulnerables a accesos no autorizados y posibles ataques maliciosos.
Ejecución de comandos con permisos de root
Un investigador de seguridad desarrolló un exploit de prueba de concepto que demostró cómo ejecutar comandos con permisos de root de forma remota en servidores con CyberPanel, lo que permite tomar el control total del sistema.
Solo se pudo probar el exploit en la versión 2.3.6, ya que el investigador no tenía acceso a la versión 2.3.7 en ese momento. Sin embargo, dado que la versión 2.3.7 salió el 19 de septiembre, antes de que se descubriera la vulnerabilidad, es probable que también esté afectada.
La vulnerabilidad fue informada a los desarrolladores de CyberPanel el 23 de octubre de 2024, y esa misma noche se lanzó una solución en GitHub para el problema de autenticación.
Después de la noticia del ataque, el equipo de CyberPanel confirmó que ya está disponible la versión 2.3.8, la cual corrige la vulnerabilidad. El error se solucionó en cuestión de minutos tras recibir el aviso de seguridad, y desde entonces el equipo ha estado ocupado ayudando a los usuarios con la actualización y solucionando posibles infracciones. Para actualizar a la última versión, CyberPanel ha publicado una guía en su página de soporte, junto con un aviso de seguridad sobre el exploit y los pasos que los usuarios deben seguir para proteger sus sistemas.
Te podrá interesar leer: ¿Qué Pasa si No Actualizas Software?: Evita Vulnerabilidades
¿Qué tan extensa es la amenaza?
Se ha descubierto que más de 21,000 servidores CyberPanel están expuestos en todo el mundo, con la mayor concentración en Estados Unidos (10,170), seguido de Alemania (3,346) y Singapur (1,856). Esta distribución indica que los atacantes podrían estar enfocándose en estos países, lo que eleva el riesgo de ataques en esas regiones.
¿Cómo explotó el ransomware PSAUX las vulnerabilidades de CyberPanel?
Desde junio de 2024, PSAUX ha estado aprovechando vulnerabilidades conocidas y configuraciones inseguras en servidores web. Cuando PSAUX infecta un servidor, realiza una serie de acciones para bloquear los archivos y exigir un rescate:
- Cifrado de archivos: Genera una clave AES única y un vector de inicialización (IV) para cifrar todos los archivos en el servidor.
- Notas de rescate: Crea archivos de rescate llamados "index.html" en cada carpeta y también los copia en el archivo /etc/motd para que el mensaje se muestre cada vez que alguien inicia sesión.
- Protección de clave RSA: La clave AES y el IV se cifran adicionalmente con una clave RSA y se guardan en /var/key.enc y /var/iv.enc.
Los atacantes usaron scripts específicos, como ak47.py para explotar las vulnerabilidades en CyberPanel y Actually.sh para manejar el cifrado de archivos.
Podría interesarte leer: Resumen de Noticias de Ciberseguridad: 22 de Octubre de 2024
Respuesta de CyberPanel
Una vez que se les informó sobre la vulnerabilidad, el equipo de CyberPanel reaccionó rápido. Revisaron el problema y lanzaron un parche de seguridad en apenas 30 minutos. Aunque inicialmente decidieron no hacer pública la vulnerabilidad para dar tiempo a los usuarios a actualizar sus sistemas, la información sobre el fallo se filtró antes de lo previsto, lo que generó preocupación entre los usuarios. El parche se incluyó en una actualización de GitHub, pero CyberPanel aún no ha revelado todos los detalles de la vulnerabilidad para proteger a los usuarios que aún no han actualizado.