Allerta sfruttamento attivo: vulnerabilità critica in CyberPanel (CVE-2024-51378)

CVE-2024-51378 è una vulnerabilità critica di tipo command injection nelle versioni 2.3.6 e 2.3.7 di CyberPanel. Questo difetto consente ad attaccanti remoti non autenticati di eseguire comandi arbitrari sui sistemi target con privilegi di root. La vulnerabilità è già stata sfruttata attivamente da attori malevoli, inclusi gruppi ransomware, per compromettere server, distribuire malware e criptare file. Sono state identificate oltre 227.000 istanze potenzialmente esposte online, aumentando significativamente la superficie d’attacco e l’urgenza di intervenire.

CyberPanel
2024-12-05 16:22:23
Trending, Fix Available, Active Exploitation

Riassunto tecnico

Dettagli della vulnerabilità:

CVSS Score: 10.0 (Critica)
Versioni affette: CyberPanel 2.3.6 e 2.3.7
Vettore di exploit: Richieste HTTP OPTIONS costruite verso gli endpoint /dns/getresetstatus e /ftp/getresetstatus.
Causa principale: Mancanza di validazione dell’input nel parametro status file all’interno degli script dns/views.py e ftp/views.py.
Impatto: Esecuzione remota di codice (RCE) da parte di utenti non autenticati, che consente il pieno controllo del server, accesso non autorizzato ai domini, violazioni di dati e potenziale distribuzione di ransomware o altro malware.

Passaggi per lo sfruttamento:

  1. Eseguire una richiesta GET iniziale per ottenere il token CSRF.
  2. Costruire una richiesta HTTP OPTIONS malevola contenente un payload appositamente creato nel parametro status file.
  3. Iniettare comandi utilizzando un punto e virgola (;) per eseguire comandi arbitrari della shell sul server.
  4. Inviare il payload agli endpoint vulnerabili /dns/getresetstatus o /ftp/getresetstatus.

Raccomandazioni

  1. Applicare le patch:

    • Aggiornare CyberPanel all’ultima versione disponibile, che include correzioni per la validazione dell’input e un’autenticazione migliorata degli endpoint.

  2. Monitorare i log:

    • Controllare regolarmente i log di sistema per comandi sospetti rivolti a /api/getresetstatus/, /dns/getresetstatus o /ftp/getresetstatus.
    • Limitare l’accesso alle istanze di CyberPanel da reti non affidabili utilizzando firewall o VPN.

  3. Mitigazioni temporanee:

    • Disabilitare o limitare le richieste OPTIONS a livello di web server fino all’applicazione delle patch.
    • Rimuovere o mettere in sicurezza l’accesso agli endpoint vulnerabili /dns/getresetstatus e /ftp/getresetstatus.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In