Exploitasi CyberPanel dimanfaatkan oleh PSAUX Ransomware

[reyokh]

Karena penasaran, saya mau tanya pada praktisi perpanelan.

1. Adakah di luar sana panel gratisan yang mendukung Openlitespeed dan Litespeed Ent?
2. Adakah yang pernah mencoba membandingkan AAPanel vs Cloudpanel? Karena keduanya sama-sama menggunakan Nginx, manakah dari keduanya yg UI-nya userfriendly and simple?
3. Yang terakhir, apakah kalian setuju jika saya mengatakan Cyberpanel sebagai panel gratisan yang lengkap fiturnya dan user friendly, serta paling banyak digunakan?

-- Note: saya sedang menulis artikel tentang Cyberpanel Disaster.

bantu jawab ya Ka,
1. CyberPanel, aaPanel, oPanel
2. CloudPanel UI simple & userfriendly
3. saya setuju untuk kelengkapan dan paling banyak digunakan, untuk user friendly sptnya belum.

kalau boleh dibantu, cara penerapan paket user di CyberPanel bagaimana ya seharusnya?
- saya sendiri kesulitan memberlakukan penerapan paket, karena ketika membuat paket dengan limitasi 2 website dan limitasi storage 1gb space. user tidak bisa membuat website kecuali kita buatkan paket di dalam user tersebut dengan menerapkan ACL dengan fitur full untuk paket terlebih dahulu baru dikembalikan ke ACL user (ini yang saya lakukan, dan ini sangat ribet) karena membuat paketnya juga melalui login user bukan langsung dari login admin.
- atau dalam kata lain user bisa dibuatkan website melalui akun admin saja.
- jika user dibuatkan akses paket dan tidak dikontrol langsung oleh admin, maka nantinya user bisa bikin paket seenaknya, seperti limit storage nya tak terbatas, dll.

 

[XXIKU.COM]

sebenernya nda musti dari control panel saja kaya case cyberpanel kemarin untuk masalah ransomware ini, saya yakin kedepan situs biasa yg terhack akan bisa juga kok di encrypt jd ga harus lewat celah control panel .

apalagi sebelumnya kan encryptornya itu yg tahu cm si hacker awal nya aja, cm sekarang karena sudah ada decryptornya baik untuk file encrypt dengan ekstensi .locked .psaux dsb itu hacker yg lain yg mungkin belum tahu jd tahu , karna dari decryptor itu akan bs direverse balik membuat encryptor lagi dengan varian berbeda dengan mengambil basic awal, karna proses nya cm tinggal membalik aja command di aes nya like gzip and unzip

encryptor nya jg memakai aes encrypt dimana itu sangat mungkin di run dalam shell command tanpa harus take down root nya dulu .

jadi ada kemungkinan trend hacking yg td nya mungkin situs dihack cm menyisipkan link judi, phising atau hanya index hack , kedepannya mungkin bs diencrypt lalu minta tebusan ky gini juga buat nyari profit.

Tapi anehnya casenya saat user mereka melakukan update versi panel dengan latest terbaru malah banyak yang terkena bug dan langsung rentan, mengakibatkan gagal akses dengan panel, desain UI interface login pada rusak, namun web user yang dihosting ke panel masih normal, meskipun akses ssh masih dapat berhasil.




Saya hanya penasaran apakah file virus/ransom ware nya disusupi melalui sumber file repository update resminya kah atau bagaimana. kok bisa. Apa detailnya login akun panel bisa terekspos lalu di hack.

 

[reyokh]

Tapi anehnya casenya saat user mereka melakukan update versi panel dengan latest terbaru malah banyak yang terkena bug dan langsung rentan, mengakibatkan gagal akses dengan panel, desain UI interface login pada rusak, namun web user yang dihosting ke panel masih normal, meskipun akses ssh masih dapat berhasil.

View attachment 7749
View attachment 7750

Saya hanya penasaran apakah file virus/ransom ware nya disusupi melalui sumber file repository update resminya kah atau bagaimana. kok bisa. Apa detailnya login akun panel bisa terekspos lalu di hack.

folder /usr/local/CyberCP/public/static nya apakah exist ?

 

[XXIKU.COM]

folder /usr/local/CyberCP/public/static nya apakah exist ?

Gak tau. Kemungkinan di block permission nya atau dihapus, ntahlah. Soalnya bukan punya saya apakah tetap exist.

Tambahan info

https://twitter.com/x/status/1851321568607211704

CyberPanel Vulnerabilities Exploited in Ransomware Attacks Shortly After Disclosure

CyberPanel vulnerabilities have been exploited to compromise thousands of instances as part of ransomware attacks.

www.securityweek.com

cyberpanel 0day leaked attack script

cyberpanel 0day leaked attack script. GitHub Gist: instantly share code, notes, and snippets.

gist.github.com

 

[IIXPLANET]

belum bs mastikan sih karna ga pakai cyberpanel, cuma kynya versinya di roll back sampai 2019 kl dari repositorynya, beberapa hari lalu sy lihat versi latest nya ga gt sih sampai 2024, mungkin karena itu jd pada rusak tampilannya setelah update, tp ga tau juga sih soalnya sy ga pakai cyberpanel.

 

[wpanel]

ada yang bisa jelasin. bagaimana si ransomwre terbaru ini bisa masuk ke cyberpanel?
saya udah baca2 artikelnya tapi masih kurang paham cara exploit nya, jadi gak bisa reproduce.
dulu pernah pakai cyberpanel, terus kena malware. rupa2nya masuk karena gak ganti password defaultnya.

ya paling aman sih manual aja atau pakai ansible.

 

[reyokh]

ada yang bisa jelasin. bagaimana si ransomwre terbaru ini bisa masuk ke cyberpanel?
saya udah baca2 artikelnya tapi masih kurang paham cara exploit nya, jadi gak bisa reproduce.
dulu pernah pakai cyberpanel, terus kena malware. rupa2nya masuk karena gak ganti password defaultnya.

ya paling aman sih manual aja atau pakai ansible.

awalnya dari sini Ka https://dreyand.rs/code/review/2024/10/27/what-are-my-options-cyberpanel-v236-pre-auth-rce

 

[wpanel]

thanks kak @reyokh