Siber suçlular, fidye yazılımı yüklemek ve on binlerce sistemi çevrim dışı hâle getirmek için CyberPanel’deki birden fazla güvenlik açığından yararlandı. Bu saldırıya rağmen bazı kurbanlar şanslı olabilir çünkü bir şifre çözme anahtarı mevcut gibi görünüyor.
DreyAnd takma adlı bir siber güvenlik araştırmacısı, CyberPanel 2.3.6 ve muhtemelen 2.3.7’de uzaktan kod çalıştırmaya ve keyfi sistem komutlarının yürütülmesine izin veren üç büyük güvenlik açığı bulduğunu duyurdu. Hatta araştırmacılar, savunmasız bir sunucunun nasıl ele geçirileceğini göstermek için bir kavram kanıtı (PoC) yayınladılar.
CyberPanel’i kısaca web sunucularının ve web sitelerinin yönetimini basitleştiren açık kaynaklı bir web barındırma kontrol paneli olarak tanımlayabiliriz. LiteSpeed üzerine inşa edilen bu panel, kullanıcıların web sitelerini, veritabanlarını, alan adlarını ve e-postaları yönetmesine olanak tanıyor. CyberPanel özellikle LiteSpeed’in OpenLiteSpeed sunucusu ve web sitesi performansını artıran LSCache ile entegrasyonu nedeniyle popüler bir konumda.
Bu olay CyberPanel’in geliştiricilerini bir yama hazırlamaya ve bunu GitHub’da yayınlamaya yöneltti. CyberPanel’i GitHub’dan indiren veya mevcut bir sürümü yükselten herkes düzeltmeyi alabilecek. Ancak güvenlik açıklarına bir CVE numarası henüz atanmadı.
22.000’den fazla savunmasız CyberPanel kurulumu bulundu
BleepingComputer’ın bildirdiğine göre, internet bağlantılı ve savunmasız durumda olan 22.000’den fazla uç nokta tespit edildi ve bunların yaklaşık yarısı ABD’de bulunuyor. PoC yayınlandıktan kısa süre sonra, görünen sistemlerin sayısı sadece yüzlerle ifade edilecek seviyeye düştü. Bazı araştırmacılar, saldırganların PSAUX fidye yazılımı türünü dağıtarak cihazları çevrim dışı hâle getirdiğini doğruladı. Görünüşe göre CyberPanel aracılığıyla yüz binden fazla alan adı ve veri tabanı yönetiliyordu.
PSAUX fidye yazılımı, yaygın bir Linux işleminin adını almış olup Linux tabanlı sistemleri hedef alıyor. Bu yazılım gelişmiş teknikler kullanarak tespit edilemiyor. Bu da onu Linux sunucularında kritik uygulamalar çalıştıran işletmeler ve organizasyonlar için özellikle tehlikeli bir hâle getiriyor.
LeakIX takma adlı bir güvenlik araştırmacısı, saldırının yol açtığı zararı tersine çevirebilecek bir çözüm aracı (decryptor) yayınladı. Yine de saldırganlar farklı bir şifreleme anahtarı kullandıysa çözümlemeyi denemek verilerin bozulmasına neden olabilir. Bu yüzden çözümleme işlemi öncesinde yedek almak tavsiye ediliyor.
Kaynak : Tech Radar