Instalator VestaCP w commitach od a3f0fa1 (2018-05-31) do ee03eff (2018-06-13) zawierał celowo osadzony złośliwy kod, stanowiący atak na łańcuch dostaw. Nowe instalacje przeprowadzone z zainfekowanego instalatora skutkowały instalacją złośliwego oprogramowania DDoS oraz wyciekiem poświadczeń administracyjnych do zewnętrznego serwera.
▸ Pokaż oryginał (EN)
VestaCP commit a3f0fa1 (2018-05-31) up to commit ee03eff (2018-06-13) contain embedded malicious code that resulted in a supply-chain compromise. New installations created from the compromised installer since at least May 2018 were subject to installation of Linux/ChachaDDoS, a multi-stage DDoS bot that uses Lua for second- and third-stage components. The compromise leaked administrative credentials (base64-encoded admin password and server domain) to an external URL during installation and/or resulted in the installer dropping and executing a DDoS malware payload under local system privileges. Compromised servers were subsequently observed participating in large-scale DDoS activity. Vesta acknowledged exploitation in the wild in October 2018.
Skompromitowany instalator VestaCP podczas procesu instalacji wysyłał zakodowane w Base64 dane logowania administratora (hasło i domenę serwera) na zewnętrzny adres URL. Jednocześnie instalator pobierał i uruchamiał payload złośliwego oprogramowania Linux/ChachaDDoS — wieloetapowego bota DDoS wykorzystującego język Lua do obsługi kolejnych etapów ataku. Całość była wykonywana z uprawnieniami lokalnego systemu (root). Skompromitowane serwery były następnie obserwowane jako uczestniczące w atakach DDoS na dużą skalę.
Atakujący uzyskiwali zdalny dostęp do poświadczeń administracyjnych instalowanych serwerów oraz kontrolę nad systemem poprzez zainstalowane złośliwe oprogramowanie DDoS. Skompromitowane serwery były włączane do sieci botnet i wykorzystywane do przeprowadzania ataków DDoS.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Serwery zainstalowane przy użyciu skompromitowanego instalatora (maj–czerwiec 2018) należy traktować jako w pełni skompromitowane — wymagana jest reinstalacja systemu, zmiana wszystkich poświadczeń administracyjnych oraz weryfikacja pod kątem obecności złośliwego oprogramowania Linux/ChachaDDoS.
VestaCP zainstalowany przy użyciu instalatora pochodzącego z commitów od a3f0fa1 (2018-05-31) do ee03eff (2018-06-13); dotyczy wszystkich nowych instalacji przeprowadzonych co najmniej od maja 2018 roku z użyciem skompromitowanego instalatora
Vesta oficjalnie potwierdziła eksploatację podatności w warunkach rzeczywistych w październiku 2018 roku. CVE zostało opublikowane w 2025 roku, mimo że incydent miał miejsce w 2018 roku. Podatność sklasyfikowana jako CWE-506 (Embedded Malicious Code — osadzony złośliwy kod).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X