CyberPanel Có Lỗ Hổng Bảo Mật Nghiêm Trọng CVE

(cập nhật Tháng 10/2024)

Thông báo trên cộng đồng cyberpanel về cách fix lỗ hỏng bảo mât

CyberPanel, một control panel web hosting mã nguồn mở được nhiều người ưa chuộng, đang phải đối mặt với một cơn ác mộng bảo mật. Lỗ hổng nghiêm trọng vừa được phát hiện có thể khiến hàng chục nghìn server CyberPanel trên toàn thế giới trở thành "miếng mồi ngon" cho hacker.

Sự việc bắt đầu khi hai chuyên gia bảo mật phát hiện ra lỗ hổng cho phép thực thi mã từ xa trên CyberPanel phiên bản 2.3.6 và các phiên bản trước đó. Điều đáng lo ngại là lỗ hổng này không yêu cầu xác thực, đồng nghĩa với việc hacker có thể dễ dàng xâm nhập và kiểm soát hoàn toàn server mà không cần bất kỳ thông tin đăng nhập nào.

Thông tin về lỗ hổng nhanh chóng lan truyền, gây hoang mang cho cộng đồng người dùng CyberPanel. BleepingComputer, một trang tin uy tín về an ninh mạng, đã đưa tin về việc nhiều server CyberPanel bị tấn công và mã hóa dữ liệu bởi nhóm ransomware PSAUX. Hacker đã lợi dụng lỗ hổng để cài đặt mã độc, chiếm quyền điều khiển server và yêu cầu tiền chuộc từ người dùng.

bài viết được đăng tải trên BleepingComputer

Khách hàng của Tool.vn, chủ một website thương mại điện tử sử dụng CyberPanel, chia sẻ: "Tôi đã rất sốc khi phát hiện website của mình bị tấn công. Mọi dữ liệu quan trọng, bao gồm thông tin khách hàng, đơn hàng, đều bị mã hóa. Tôi không thể truy cập vào hệ thống quản trị và website bị tê liệt hoàn toàn. Hacker yêu cầu một khoản tiền chuộc lớn để giải mã dữ liệu. Tôi đang rất lo lắng và không biết phải làm sao."

Tình hình càng trở nên nghiêm trọng hơn khi thông tin về lỗ hổng bị rò rỉ trên các diễn đàn hacker. Điều này đồng nghĩa với việc ngày càng nhiều hacker biết đến và có thể khai thác lỗ hổng để tấn công server CyberPanel.

Vậy lỗ hổng này nguy hiểm như thế nào? Làm sao để biết server của bạn có bị ảnh hưởng? Bài viết này sẽ cung cấp cho bạn cái nhìn chi tiết về vấn đề, hướng dẫn cách khắc phục, phòng ngừa và xử lý sự cố, giúp bạn bảo vệ server và dữ liệu an toàn tuyệt đối.

Lỗ Hổng Bảo Mật CyberPanel: CVE-2024-51568, CVE-2024-51567, CVE-2024-51378

Để hiểu rõ hơn về mức độ nghiêm trọng của vấn đề, chúng ta cần tìm hiểu chi tiết về các lỗ hổng bảo mật CVE (Common Vulnerabilities and Exposures) đã được phát hiện trên CyberPanel. CVE (Common Vulnerabilities and Exposures) là một hệ thống danh mục công khai các lỗ hổng bảo mật đã được biết đến. Mỗi lỗ hổng được gán một mã định danh duy nhất (ví dụ: CVE-2024-xxxx), giúp dễ dàng theo dõi và quản lý thông tin về lỗ hổng.

• CVE-2024-51568: Lỗ hổng này nằm trong tính năng upload file của File Manager. Hacker có thể khai thác lỗ hổng bằng cách upload một file chứa mã độc lên server. Khi file này được thực thi, hacker sẽ có quyền kiểm soát server.
• CVE-2024-51567 & CVE-2024-51378: Hai lỗ hổng này cho phép hacker bỏ qua cơ chế xác thực của CyberPanel và thực thi các lệnh tùy ý trên server. Hacker có thể lợi dụng lỗ hổng này để cài đặt mã độc, đánh cắp dữ liệu, xóa dữ liệu hoặc thực hiện các hành vi phá hoại khác.

Thông tin lỗ hỏng bảo mật được đăng tải

Điểm chung của các lỗ hổng này là chúng đều rất dễ bị khai thác và có thể gây ra hậu quả nghiêm trọng. Hacker có thể tấn công server từ xa mà không cần bất kỳ thông tin đăng nhập nào.

Tác động của Lỗ Hổng:

1. Mất Dữ Liệu: Hacker có thể đánh cắp hoặc mã hóa dữ liệu quan trọng, bao gồm thông tin khách hàng, dữ liệu kinh doanh, mã nguồn website...
2. Gián Đoạn Hoạt Động: Website và các dịch vụ trên server có thể bị tê liệt, gây ảnh hưởng đến hoạt động kinh doanh của doanh nghiệp.
3. Thiệt Hại Về Uy Tín: Sự cố bảo mật có thể làm giảm uy tín của doanh nghiệp, khiến khách hàng mất niềm tin.
4. Chi Phí Khắc Phục: Doanh nghiệp phải chi trả chi phí cho việc khôi phục dữ liệu, xử lý sự cố và tăng cường bảo mật.

Nguyên nhân dẫn đến lỗ hổng:

Lỗ hổng CVE trên CyberPanel xuất phát từ lỗi trong quá trình kiểm tra xác thực, cho phép hacker lợi dụng các phương thức HTTP như OPTIONS, PUT, PATCH để thực thi mã độc. Lỗi này có trong các phiên bản CyberPanel 2.3.6 trở về trước.

Cách thức hacker khai thác lỗ hổng:

Hacker có thể sử dụng các công cụ tự động để quét và phát hiện các server CyberPanel có chứa lỗ hổng. Sau đó, chúng sẽ khai thác lỗ hổng để thực thi mã độc, chiếm quyền điều khiển server.

Một số hình thức tấn công phổ biến:

1. Cài đặt mã độc đào coin (kinsing, kdevtmpfsi): Hacker sẽ sử dụng tài nguyên server của bạn để đào tiền điện tử, khiến CPU server tăng cao, website hoạt động chậm chạp.
2. Tạo backdoor: Backdoor là một "cửa hậu" cho phép hacker truy cập server từ xa mà không cần xác thực.
3. Tấn công DDoS (Distributed Denial of Service): Hacker sử dụng nhiều máy tính khác nhau để gửi lượng lớn truy cập đến server của bạn, làm server quá tải và ngừng hoạt động.

Hướng Dẫn Cập Nhật CyberPanel & Vá Lỗi Bảo Mật

Để vá lỗ hổng bảo mật, bạn cần cập nhật CyberPanel lên phiên bản mới nhất (2.3.8). Phiên bản này đã được vá lỗi và được khuyến nghị sử dụng cho tất cả người dùng CyberPanel.

Cách cập nhật CyberPanel qua SSH

1. Truy cập SSH vào server: Sử dụng phần mềm SSH client (Putty, Termius...) để kết nối đến server của bạn.
2. Chạy lệnh cập nhật:
   • sh /usr/local/CyberCP/bin/python /usr/local/CyberCP/plogical/upgrade.py
3. Khởi động lại CyberPanel:
   • systemctl restart lscpd

Xử Lý Lỗi Phát Sinh:

Trong quá trình cập nhật, bạn có thể gặp một số lỗi. Dưới đây là một số lỗi thường gặp và cách xử lý:

• Lỗi kết nối internet: Kiểm tra kết nối internet của server.
• Lỗi không đủ dung lượng ổ cứng: Giải phóng dung lượng ổ cứng.
• Lỗi liên quan đến các gói phần mềm: Cài đặt hoặc cập nhật các gói phần mềm cần thiết.

Nếu gặp phải các lỗi khác, bạn có thể tham khảo blog Tool.vn về hướng dẫn bảo mật server hoặc liên hệ với bộ phận hỗ trợ của CyberPanel để được trợ giúp.

Cách cập nhật CyberPanel qua SSH và github

Bước 1: Truy cập server bằng SSH với quyền root.

Bước 2: Chạy lệnh sh <(curl https://raw.githubusercontent.com/usmannasir/cyberpanel/stable/preUpgrade.sh || wget -O - https://raw.githubusercontent.com/usmannasir/cyberpanel/stable/preUpgrade.sh) để cập nhật.

Bước 3: Khởi lại CyberPanel bằng lệnh systemctl restart cyberpanel.

Cách cập nhật CyberPanel thủ công qua Rescue Mode (khi không thể truy cập SSH):

Bước 1: Khởi động server vào chế độ Rescue Mode.

Mỗi nhà cung cấp dịch vụ hosting/VPS có cách thức truy cập Rescue Mode khác nhau. Bạn có thể tham khảo hướng dẫn của nhà cung cấp hoặc tìm kiếm trên Google với từ khóa "tên nhà cung cấp + Rescue Mode".

Bước 2: Mount phân vùng chứa CyberPanel.

Phân vùng chứa CyberPanel thường là /. Bạn có thể sử dụng lệnh mount /dev/sda1 /mnt (thay /dev/sda1 bằng tên thiết bị của phân vùng chứa CyberPanel).

Bước 3: Tải về file views.py đã được vá lỗi từ GitHub: wget https://raw.githubusercontent.com/usmannasir/cyberpanel/refs/heads/v2.3.8/databases/views.py -O /mnt/usr/local/CyberCP/databases/views.py

Bước 4: Unmount phân vùng và khởi động lại server vào chế độ bình thường: umount /mnt ; reboot

Kiểm Tra Server Sau Khi Cập Nhật

Sau khi cập nhật, bạn nên kiểm tra lại server để đảm bảo rằng lỗ hổng đã được vá và hệ thống hoạt động bình thường.

Kiểm tra phiên bản CyberPanel: Sử dụng lệnh cyberpanel -v để kiểm tra phiên bản CyberPanel hiện tại.

Kiểm tra log: Kiểm tra log server để phát hiện các hoạt động bất thường.

Khôi Phục & Gỡ Bỏ Mã Độc trên Server CyberPanel Bị Tấn Công

Nếu server CyberPanel của bạn đã bị tấn công, bạn cần thực hiện các bước sau để khôi phục và gỡ bỏ mã độc:

1. Ngắt Kết Nối Server Khỏi Internet:
   • Bước đầu tiên là ngắt kết nối server khỏi internet để ngăn chặn hacker tiếp tục tấn công và lây lan mã độc sang các hệ thống khác.
2. Sao Lưu Dữ Liệu (Nếu Có Thể):
   • Nếu bạn có thể truy cập vào server, hãy sao lưu dữ liệu quan trọng trước khi thực hiện các bước khôi phục.
3. Phát Hiện & Xóa File Lạ, Mã Độc:
   • Hacker thường cài đặt các file lạ, mã độc vào server. Bạn cần phải tìm và xóa các file này.
   • Sử dụng lệnh find: Lệnh find cho phép bạn tìm kiếm các file theo tên, kích thước, ngày sửa đổi...
     • Ví dụ: find / -iname "*.php" -mtime -1 sẽ tìm kiếm tất cả các file .php được sửa đổi trong vòng 24 giờ qua.
   • Kiểm tra các process đang chạy: Sử dụng lệnh top hoặc htop để xem danh sách các process đang chạy trên server. Tìm kiếm các process đáng ngờ và tắt chúng.
   • Tham khảo các bài viết, hướng dẫn: Bạn có thể tìm kiếm thông tin về cách phát hiện và xóa mã độc trên trang chuyên mục của Tool.vn.
4. Khôi Phục Server từ Bản Sao Lưu:
   • Nếu bạn có bản sao lưu, hãy khôi phục server về trạng thái trước khi bị tấn công.
5. Thay Đổi Mật Khẩu & Cấu Hình Bảo Mật:
   • Thay đổi mật khẩu của tất cả các tài khoản trên server, bao gồm cả tài khoản root. Cấu hình lại tường lửa và các biện pháp bảo mật khác để tăng cường bảo mật cho server.
6. Cân Nhắc Sử Dụng Dịch Vụ Hỗ Trợ:
   • Nếu bạn không có kinh nghiệm xử lý sự cố bảo mật, bạn nên cân nhắc sử dụng dịch vụ hỗ trợ khắc phục sự cố website của Tool.vn hoặc các đơn vị bảo mật uy tín khác.

Biện Pháp Phòng Chống Tấn Công CyberPanel

Để phòng tránh tấn công CyberPanel trong tương lai, bạn nên áp dụng các biện pháp bảo mật chủ động sau:

1. Luôn Cập Nhật CyberPanel Lên Phiên Bản Mới Nhất:

Các nhà phát triển CyberPanel thường xuyên phát hành các bản cập nhật để vá lỗi bảo mật và cải thiện tính năng. Hãy thường xuyên kiểm tra và cập nhật CyberPanel lên phiên bản mới nhất để đảm bảo server của bạn được bảo vệ tốt nhất.

2. Sử Dụng Mật Khẩu Mạnh & Bật Xác Thực Hai Yếu Tố:

Mật khẩu yếu là một trong những nguyên nhân hàng đầu khiến server bị tấn công. Hãy sử dụng mật khẩu mạnh, phức tạp, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Bật xác thực hai yếu tố (2FA) để tăng cường bảo mật cho tài khoản. Sử dụng mật khẩu mạnh cho tất cả các tài khoản, bao gồm tài khoản root, tài khoản CyberPanel, tài khoản database... Mật khẩu mạnh nên có độ dài tối thiểu 12 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Không sử dụng chung mật khẩu cho nhiều tài khoản.

3. Cấu Hình Tường Lửa & Hệ Thống Phát Hiện Xâm Nhập (IDS):

Tường lửa là một lớp bảo vệ quan trọng, giúp chặn các kết nối không mong muốn đến server của bạn. Cấu hình tường lửa để chỉ cho phép các kết nối đến các port cần thiết (ví dụ: port 80 cho HTTP, port 443 cho HTTPS). Bạn có thể sử dụng iptables hoặc firewalld (trên CentOS 7) để cấu hình tường lửa.

Hệ thống phát hiện xâm nhập (IDS) giúp giám sát hoạt động trên server và phát hiện các hành vi xâm nhập bất thường. Cài đặt và cấu hình IDS để nhận được cảnh báo khi có dấu hiệu tấn công.

4. Sử Dụng Phần Mềm Quét & Loại Bỏ Mã Độc:

Cài đặt và sử dụng phần mềm diệt virus, phần mềm quét mã độc để phát hiện và loại bỏ các phần mềm độc hại trên server. Bạn nên quét server định kỳ để đảm bảo server luôn sạch mã độc.

5. Sao Lưu Dữ Liệu Thường Xuyên:

Sao lưu dữ liệu website và server thường xuyên là một biện pháp phòng ngừa quan trọng. Nếu server bị tấn công, bạn có thể sử dụng bản sao lưu để khôi phục dữ liệu và giảm thiểu thiệt hại.

6. Giới Hạn Truy Cập SSH:

Cổng SSH (22) là "cửa ngõ" để truy cập server từ xa. Hacker thường tấn công cổng SSH bằng cách dò mật khẩu. Bạn nên thay đổi cổng SSH mặc định (22) sang một cổng khác, ví dụ: 2222. Sử dụng SSH key thay vì mật khẩu để đăng nhập SSH. SSH key an toàn hơn mật khẩu rất nhiều. Giới hạn số lần đăng nhập sai để ngăn chặn tấn công brute-force (dò mật khẩu). Chỉ cho phép truy cập SSH từ các địa chỉ IP tin cậy.

7. Sử Dụng SFTP Thay Cho FTP:

SFTP (SSH File Transfer Protocol) là một giao thức truyền file an toàn hơn FTP. Hãy sử dụng SFTP thay cho FTP để truyền file lên server.

8. Giám sát hoạt động server:

Theo dõi CPU, RAM, băng thông, log truy cập... để phát hiện các dấu hiệu bất thường.

Nếu CPU server đột nhiên tăng cao, băng thông tăng đột biến, hoặc có nhiều truy cập đáng ngờ, có thể server của bạn đang bị tấn công.

9. Theo Dõi Tin Tức Bảo Mật:

Thường xuyên theo dõi tin tức bảo mật để cập nhật thông tin về các lỗ hổng bảo mật mới và các biện pháp phòng chống tấn công.

Nếu bạn nghi ngờ server CyberPanel của mình bị tấn công, hãy thực hiện các bước sau:

1. Cách ly server: Ngắt kết nối server khỏi internet để ngăn chặn hacker tiếp tục tấn công và lây lan mã độc sang các hệ thống khác.

2. Kiểm tra log: Kiểm tra log hệ thống, log CyberPanel, log web server để tìm kiếm các dấu hiệu bất thường.

3. Xóa mã độc, file lạ:

Sử dụng các công cụ quét virus, malware để phát hiện và xóa các file độc hại.

Bạn có thể tham khảo các script xóa mã độc

Lưu ý: Việc xóa mã độc cần được thực hiện cẩn thận để tránh làm hỏng hệ thống. Nếu bạn không có kinh nghiệm, hãy nhờ sự hỗ trợ của chuyên gia.

4. Khôi phục cấu hình hệ thống:

Khôi phục các file cấu hình bị thay đổi về mặc định.

Ví dụ: nếu file /etc/passwd bị sửa đổi, bạn có thể khôi phục nó từ bản sao lưu.

5. Thay đổi mật khẩu:

Thay đổi mật khẩu root, mật khẩu CyberPanel và mật khẩu các tài khoản khác.

Sử dụng mật khẩu mạnh và không sử dụng lại mật khẩu cũ.

6. Khôi phục dữ liệu từ bản sao lưu:

Nếu dữ liệu website, database bị mất hoặc bị sửa đổi, hãy khôi phục từ bản sao lưu gần nhất.

7. Cấu hình lại bảo mật:

Sau khi xử lý sự cố, bạn cần cấu hình lại bảo mật server để ngăn chặn tấn công trong tương lai.

Tham khảo phần "Biện pháp phòng ngừa tấn công CyberPanel và bảo vệ server" để biết thêm chi tiết.

Giải pháp bảo mật toàn diện từ Tool.vn cho server CyberPanel (Bỏ qua nếu không phù hợp)

Tool.vn cung cấp các giải pháp bảo mật toàn diện giúp bạn bảo vệ server, trang web, ngăn chặn tấn công từ lỗ hổng CVE và các mối đe dọa khác:

Giám sát website 24/7: 

• Tính năng: Giám sát hoạt động website liên tục, phát hiện các dấu hiệu bất thường như CPU tăng đột biến, truy cập đáng ngờ, lỗi website... và gửi cảnh báo ngay lập tức qua email, SMS, Telegram.
• Lợi ích: Giúp bạn phát hiện sớm các cuộc tấn công, kịp thời xử lý, giảm thiểu thiệt hại.

Quét lỗ hổng bảo mật: 

• Tính năng: Quét toàn bộ website và server, phát hiện các lỗ hổng bảo mật (bao gồm cả CVE) và đưa ra khuyến nghị khắc phục cụ thể.
• Lợi ích: Giúp bạn vá lỗi kịp thời, ngăn chặn hacker khai thác lỗ hổng để tấn công.

Bảo vệ DDoS: 

• Tính năng: Ngăn chặn các cuộc tấn công DDoS, đảm bảo website hoạt động ổn định, không bị gián đoạn.
• Lợi ích: Giúp website của bạn luôn online, sẵn sàng phục vụ khách hàng, ngay cả khi bị tấn công DDoS.

Giải pháp bảo mật của Tool.vn giúp bạn:

• Phát hiện sớm các cuộc tấn công: Giám sát website 24/7, cảnh báo kịp thời.
• Vá lỗi bảo mật hiệu quả: Quét lỗ hổng định kỳ, đưa ra khuyến nghị khắc phục.
• Bảo vệ dữ liệu an toàn: Ngăn chặn hacker xâm nhập, đánh cắp dữ liệu.
• Yên tâm kinh doanh: Tập trung phát triển website, không lo lắng về vấn đề bảo mật.

Kết luận

Lỗ hổng bảo mật trên CyberPanel là một vấn đề nghiêm trọng cần được quan tâm và xử lý kịp thời. Việc cập nhật CyberPanel lên phiên bản mới nhất, áp dụng các biện pháp phòng ngừa và trang bị kiến thức bảo mật là điều cần thiết để bảo vệ server và dữ liệu của bạn.