Krytyczna podatność w panelach zarządzania używana do ataków ransomware

cPanel to graficzny interfejs do administrowania pojedynczym hostingiem (kontem) z poziomu przeglądarki internetowej, zaś WebHost Manager (WHM) to oprogramowanie dedykowane dla hostingodawców.

„Podatność umożliwia obejście mechanizmów uwierzytelniania oraz zdalne wykonanie kodu na podatnym serwerze” – podkreśla CERT Polska.

Wszystko sprowadza się do tego, że atakujący może z poziomu anonimowego użytkownika, wstrzyknąć pewne dodatkowe wartości do swojego pliku sesji, który znajduje się na serwerze. (...) dalej można wstrzyknąć np. linijki has_root=1 czy user=root.
Sekurak na X (w oparciu o Watchtowr)

Podatność używana do ransomware

Jak podaje BleepingComputer, podatność w panelach zarządzania hostingiem jest masowo wykorzystywana przez cyberprzestępców w ramach ataków ransomware znanych jako „Sorry”.

Portal dodaje, że cPanel umożliwia dostęp m.in. do skrzynek mailowych (webmail) czy baz danych. Pierwsze próby wykorzystania podatności miały mieć miejsce już pod koniec lutego (wówczas jako 0-day).

1 maja, ok. godz. 4:00, fundacja Shadowserver zaobserwowała 44 tysiące prawdopodobnie skompromitowanych (skutecznie zaatakowanych) serwerów, w tym 327 z Polski (w oparciu o adresy IP).

W sieci można znaleźć wiele zaindeksowanych stron, które zawierają TOX ID (identyfikator komunikatora do anonimowej komunikacji) związany z ransomware „Sorry”. Złośliwe oprogramowanie szyfruje pliki oraz nadaje im rozszerzenie „.sorry”.

Warto podkreślić, że malware jest dedykowany na linuksy, które według portalu commandlinux.com odpowiadają za funkcjonowanie 77% serwerów WWW (web server). To oczywiście nie oznacza, że taki procent urządzeń w sieci jest możliwy do zaatakowania - podatność nie dotyczy samego Linuxa, lecz cPanel i WHM. Jest to o tyle ciekawe, że 93% ataków ransomware opiera się na windowsowych plikach wykonywalncych („.exe”, tzw. „egzeki”).

30 kwietnia informowaliśmy o innej poważnej podatności (w linuksowym kernelu), która umożliwia lokalne podniesienie uprawnień do poziomu roota (najważniejszego użytkownika w systemie).

Jak się chronić?

W komunikacie CERT Polska z 30 kwietnia br. wskazano konieczność zaaktualizowania cPanel i WebHost Manager do wersji wskazanej przez producenta. Dodatkowo, zaleca się analizę pod kątem ew. wykorzystania podatności w danym środowisku – szczegóły również znajdują się na stronie cPanel.

Jeżeli aktualizacja jest niemożliwa, zaleca się zablokowanie ruchu przychodzącego na portach: 2083, 2087, 2095 i 2096 (na zaporze sieciowej). Dodatkowo należy wyłączyć usługi cpsrvd i cpdavd za pomocą poleceń wskazanych w komunikacie CERT-u.

Rivitna - analityk złośliwego oprogramowania jasno wskazuje, że odszyfrowanie danych jest niemożliwe bez klucza prywatnego RSA-2048. Jednocześnie nie zachęcamy do negocjowania ewentualnego okupu z cyberprzestępcami.

Niezmienne rekomendacje

Wszystkim administratorom zalecamy upewnienie się, że (oczywiście regularnie tworzone) kopie zapasowe są faktycznie możliwe do odtworzenia oraz przechowywane w sposób uniemożliwiający zaszyfrowanie ich wskutek cyberataku (np. odłączone od sieci lokalnej). Przykładem incydentu w tym zakresie może być atak ransomware na Starostwo Powiatowe w Jędrzejowie, gdzie zaszyfrowano jeden z backupów (wykonywany codziennie).

Powinniśmy niezmiennie pamiętać o zastrzeżeniu numeru PESEL, wykorzystywaniu unikalnych i odpowiednio złożonych haseł oraz stosować dwuetapowe uwierzytelnianie (2FA). To naprawdę robi różnicę!