ISGroup Consultoría de Ciberseguridad

Alerta de explotación activa: vulnerabilidad crítica en CyberPanel (CVE-2024-51378)

CVE-2024-51378 es una vulnerabilidad crítica de inyección de comandos en las versiones 2.3.6 y 2.3.7 de CyberPanel. Este defecto permite a atacantes remotos no autenticados ejecutar comandos arbitrarios en los sistemas objetivo con privilegios de root. La vulnerabilidad ya ha sido explotada activamente por actores maliciosos, incluidos grupos de ransomware, para comprometer servidores, distribuir malware y cifrar archivos. Se han identificado más de 227.000 instancias potencialmente expuestas en línea, lo que aumenta significativamente la superficie de ataque y la urgencia de intervenir.

ProductoCyberPanel
Fecha2024-12-05 16:22:23
Información
  • Tendencia
  • Parche disponible
  • Explotación activa

Resumen técnico

Detalles de la vulnerabilidad:

Puntuación CVSS: 10.0 (Crítica)
Versiones afectadas: CyberPanel 2.3.6 y 2.3.7
Vector de explotación: Solicitudes HTTP OPTIONS dirigidas a los endpoints /dns/getresetstatus y /ftp/getresetstatus.
Causa principal: Falta de validación de entrada en el parámetro status file dentro de los scripts dns/views.py y ftp/views.py.
Impacto: Ejecución remota de código (RCE) por parte de usuarios no autenticados, lo que permite el control total del servidor, acceso no autorizado a dominios, violaciones de datos y posible distribución de ransomware u otro malware.

Pasos para la explotación:

  1. Ejecutar una solicitud GET inicial para obtener el token CSRF.
  2. Construir una solicitud HTTP OPTIONS maliciosa que contenga un payload especialmente diseñado en el parámetro status file.
  3. Inyectar comandos utilizando un punto y coma (;) para ejecutar comandos arbitrarios de shell en el servidor.
  4. Enviar el payload a los endpoints vulnerables /dns/getresetstatus o /ftp/getresetstatus.

Recomendaciones

  1. Aplicar los parches:

    • Actualizar CyberPanel a la última versión disponible, que incluye correcciones para la validación de entrada y una autenticación mejorada de los endpoints.

  2. Monitorear los registros:

    • Revisar regularmente los registros del sistema en busca de comandos sospechosos dirigidos a /api/getresetstatus/, /dns/getresetstatus o /ftp/getresetstatus.
    • Limitar el acceso a las instancias de CyberPanel desde redes no confiables utilizando firewalls o VPN.

  3. Mitigaciones temporales:

    • Deshabilitar o limitar las solicitudes OPTIONS a nivel de servidor web hasta que se apliquen los parches.
    • Eliminar o asegurar el acceso a los endpoints vulnerables /dns/getresetstatus y /ftp/getresetstatus.

[Callforaction-THREAT-Footer]

In