CRITICAL🇬🇧 English

CVE-2018-25117

VestaCP — złośliwy kod w instalatorze (supply-chain compromise)

CVSS 9.3v4.0pub. 2025-10-15upd. 2026-04-15

Instalator VestaCP w commitach od a3f0fa1 (2018-05-31) do ee03eff (2018-06-13) zawierał celowo osadzony złośliwy kod, stanowiący atak na łańcuch dostaw. Nowe instalacje przeprowadzone z zainfekowanego instalatora skutkowały instalacją złośliwego oprogramowania DDoS oraz wyciekiem poświadczeń administracyjnych do zewnętrznego serwera.

Pokaż oryginał (EN)

VestaCP commit a3f0fa1 (2018-05-31) up to commit ee03eff (2018-06-13) contain embedded malicious code that resulted in a supply-chain compromise. New installations created from the compromised installer since at least May 2018 were subject to installation of Linux/ChachaDDoS, a multi-stage DDoS bot that uses Lua for second- and third-stage components. The compromise leaked administrative credentials (base64-encoded admin password and server domain) to an external URL during installation and/or resulted in the installer dropping and executing a DDoS malware payload under local system privileges. Compromised servers were subsequently observed participating in large-scale DDoS activity. Vesta acknowledged exploitation in the wild in October 2018.

🤖 Analiza AI
Jak działa

Skompromitowany instalator VestaCP podczas procesu instalacji wysyłał zakodowane w Base64 dane logowania administratora (hasło i domenę serwera) na zewnętrzny adres URL. Jednocześnie instalator pobierał i uruchamiał payload złośliwego oprogramowania Linux/ChachaDDoS — wieloetapowego bota DDoS wykorzystującego język Lua do obsługi kolejnych etapów ataku. Całość była wykonywana z uprawnieniami lokalnego systemu (root). Skompromitowane serwery były następnie obserwowane jako uczestniczące w atakach DDoS na dużą skalę.

Skutki

Atakujący uzyskiwali zdalny dostęp do poświadczeń administracyjnych instalowanych serwerów oraz kontrolę nad systemem poprzez zainstalowane złośliwe oprogramowanie DDoS. Skompromitowane serwery były włączane do sieci botnet i wykorzystywane do przeprowadzania ataków DDoS.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Serwery zainstalowane przy użyciu skompromitowanego instalatora (maj–czerwiec 2018) należy traktować jako w pełni skompromitowane — wymagana jest reinstalacja systemu, zmiana wszystkich poświadczeń administracyjnych oraz weryfikacja pod kątem obecności złośliwego oprogramowania Linux/ChachaDDoS.

Kogo dotyczy

VestaCP zainstalowany przy użyciu instalatora pochodzącego z commitów od a3f0fa1 (2018-05-31) do ee03eff (2018-06-13); dotyczy wszystkich nowych instalacji przeprowadzonych co najmniej od maja 2018 roku z użyciem skompromitowanego instalatora

Uwagi

Vesta oficjalnie potwierdziła eksploatację podatności w warunkach rzeczywistych w październiku 2018 roku. CVE zostało opublikowane w 2025 roku, mimo że incydent miał miejsce w 2018 roku. Podatność sklasyfikowana jako CWE-506 (Embedded Malicious Code — osadzony złośliwy kod).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2018-25117 — VestaCP — złośliwy kod w instalatorze (supply-chain compromise) — CRITICAL 9.3 | CVEbaza.pl