CVE-2024-51378 est une vulnérabilité critique de type injection de commande dans les versions 2.3.6 et 2.3.7 de CyberPanel. Ce défaut permet à des attaquants distants non authentifiés d’exécuter des commandes arbitraires sur les systèmes cibles avec des privilèges root. La vulnérabilité est déjà activement exploitée par des acteurs malveillants, y compris des groupes de ransomware, pour compromettre des serveurs, déployer des logiciels malveillants et chiffrer des fichiers. Plus de 227 000 instances potentiellement exposées en ligne ont été identifiées, augmentant considérablement la surface d’attaque et l’urgence d’intervenir.

Produit	CyberPanel
Date	05-12-2024 16:22:23
Informations	Tendance Correctif disponible Exploitation active

Résumé technique

Détails de la vulnérabilité :

Score CVSS : 10.0 (Critique)
Versions affectées : CyberPanel 2.3.6 et 2.3.7
Vecteur d’exploitation : Requêtes HTTP OPTIONS construites vers les points de terminaison /dns/getresetstatus et /ftp/getresetstatus.
Cause principale : Absence de validation des entrées dans le paramètre status file au sein des scripts dns/views.py et ftp/views.py.
Impact : Exécution de code à distance (RCE) par des utilisateurs non authentifiés, permettant un contrôle total du serveur, un accès non autorisé aux domaines, des violations de données et le déploiement potentiel de ransomware ou d’autres logiciels malveillants.

Étapes d’exploitation :

1. Effectuer une requête GET initiale pour obtenir le jeton CSRF.
2. Construire une requête HTTP OPTIONS malveillante contenant une charge utile (payload) spécialement conçue dans le paramètre status file.
3. Injecter des commandes en utilisant un point-virgule (;) pour exécuter des commandes shell arbitraires sur le serveur.
4. Envoyer la charge utile vers les points de terminaison vulnérables /dns/getresetstatus ou /ftp/getresetstatus.

Recommandations

1. Appliquer les correctifs :

   • Mettre à jour CyberPanel vers la dernière version disponible, qui inclut des corrections pour la validation des entrées et une authentification améliorée des points de terminaison.

2. Surveiller les journaux :

   • Vérifier régulièrement les journaux système pour détecter des commandes suspectes ciblant /api/getresetstatus/, /dns/getresetstatus ou /ftp/getresetstatus.
   • Restreindre l’accès aux instances de CyberPanel depuis des réseaux non fiables en utilisant des pare-feu ou des VPN.

3. Atténuations temporaires :

   • Désactiver ou limiter les requêtes OPTIONS au niveau du serveur web jusqu’à l’application des correctifs.
   • Supprimer ou sécuriser l’accès aux points de terminaison vulnérables /dns/getresetstatus et /ftp/getresetstatus.

[Callforaction-THREAT-Footer]