ISGroup Cybersicherheitsberatung

Warnung vor aktiver Ausnutzung: Kritische Schwachstelle in CyberPanel (CVE-2024-51378)

CVE-2024-51378 ist eine kritische Command-Injection-Schwachstelle in den CyberPanel-Versionen 2.3.6 und 2.3.7. Dieser Fehler ermöglicht es nicht authentifizierten Remote-Angreifern, beliebige Befehle mit Root-Rechten auf den Zielsystemen auszuführen. Die Schwachstelle wird bereits aktiv von böswilligen Akteuren, einschließlich Ransomware-Gruppen, ausgenutzt, um Server zu kompromittieren, Malware zu verbreiten und Dateien zu verschlüsseln. Es wurden über 227.000 potenziell online exponierte Instanzen identifiziert, was die Angriffsfläche erheblich vergrößert und die Dringlichkeit für Maßnahmen erhöht.

ProduktCyberPanel
Datum05.12.2024 16:22:23
Informationen
  • Im Trend
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Details zur Schwachstelle:

CVSS-Score: 10.0 (Kritisch)
Betroffene Versionen: CyberPanel 2.3.6 und 2.3.7
Exploit-Vektor: Manipulierte HTTP-OPTIONS-Anfragen an die Endpunkte /dns/getresetstatus und /ftp/getresetstatus.
Hauptursache: Fehlende Eingabevalidierung des Parameters „status file“ innerhalb der Skripte dns/views.py und ftp/views.py.
Auswirkung: Remote Code Execution (RCE) durch nicht authentifizierte Benutzer, was die vollständige Kontrolle über den Server, unbefugten Zugriff auf Domains, Datenlecks und die potenzielle Verbreitung von Ransomware oder anderer Malware ermöglicht.

Schritte zur Ausnutzung:

  1. Durchführung einer anfänglichen GET-Anfrage, um das CSRF-Token zu erhalten.
  2. Erstellung einer bösartigen HTTP-OPTIONS-Anfrage, die ein speziell präpariertes Payload im Parameter „status file“ enthält.
  3. Injektion von Befehlen mittels Semikolon (;), um beliebige Shell-Befehle auf dem Server auszuführen.
  4. Senden des Payloads an die anfälligen Endpunkte /dns/getresetstatus oder /ftp/getresetstatus.

Empfehlungen

  1. Patches anwenden:

    • Aktualisieren Sie CyberPanel auf die neueste verfügbare Version, die Korrekturen für die Eingabevalidierung und eine verbesserte Endpunkt-Authentifizierung enthält.

  2. Logs überwachen:

    • Überprüfen Sie regelmäßig die Systemprotokolle auf verdächtige Befehle, die auf /api/getresetstatus/, /dns/getresetstatus oder /ftp/getresetstatus abzielen.
    • Beschränken Sie den Zugriff auf CyberPanel-Instanzen aus nicht vertrauenswürdigen Netzwerken mithilfe von Firewalls oder VPNs.

  3. Temporäre Abhilfemaßnahmen:

    • Deaktivieren oder beschränken Sie OPTIONS-Anfragen auf Webserver-Ebene, bis die Patches angewendet wurden.
    • Entfernen oder sichern Sie den Zugriff auf die anfälligen Endpunkte /dns/getresetstatus und /ftp/getresetstatus.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *