В ПО cPanel исправлена опасная уязвимость, помогающая злоумышленникам взломать управляемые с его помощью сайты.
Исследователи безопасности ИБ-компании Digital Defense обнаружили серьезную уязвимость в ПО для управления сайтами cPanel, пользующемся большой популярностью у хостинговых компаний. С ее помощью злоумышленник может обойти реализованный в cPanel механизм двухфакторной аутентификации для защиты учетных записей.
Учетные записи cPanel используются владельцами сайтов для доступа и управления настройками сайтов и серверов. Доступ к учетным записям является критическим, и, если злоумышленнику удастся его получить, он сможет захватить полный контроль над сайтом жертвы.
По данным разработчика cPanel, в настоящее время ПО используется сотнями web-хостинговых компаний для управления более чем 70 млн доменов по всему миру.
Как сообщают исследователи Digital Defense, реализация двухфакторной аутентификации в старых версиях cPanel & WebHost Manager (WHM) уязвима к брутфорс-атакам. Злоумышленник может подобрать URL-параметры и обойти двухфакторную аутентификацию, если она включена для защиты учетной записи.
Хотя на осуществление брутфорс-атак обычно уходит несколько часов, а то и дней, в данном случае атака занимает всего несколько минут. Для эксплуатации уязвимости у атакующего должны быть действительные учетные данные для доступа к cPanel (получить их можно с помощью фишинга).
Исследователи сообщили разработчику об уязвимости, и патч был выпущен на прошлой неделе. Проблема исправлена в версиях cPanel & WHM 11.92.0.2, 11.90.0.17 и 11.86.0.32.
Спойлер: она начинается с подписки на наш канал