Двухфакторную аутентификацию в cPanel можно обойти — yo-robot.ru

уязвимость обновление двухфакторная аутентификация cPanel Digital Defense

В ПО cPanel исправлена опасная уязвимость, помогающая злоумышленникам взломать управляемые с его помощью сайты.

Исследователи безопасности ИБ-компании Digital Defense обнаружили серьезную уязвимость в ПО для управления сайтами cPanel, пользующемся большой популярностью у хостинговых компаний. С ее помощью злоумышленник может обойти реализованный в cPanel механизм двухфакторной аутентификации для защиты учетных записей.

Учетные записи cPanel используются владельцами сайтов для доступа и управления настройками сайтов и серверов. Доступ к учетным записям является критическим, и, если злоумышленнику удастся его получить, он сможет захватить полный контроль над сайтом жертвы.

По данным разработчика cPanel, в настоящее время ПО используется сотнями web-хостинговых компаний для управления более чем 70 млн доменов по всему миру.

Как сообщают исследователи Digital Defense, реализация двухфакторной аутентификации в старых версиях cPanel & WebHost Manager (WHM) уязвима к брутфорс-атакам. Злоумышленник может подобрать URL-параметры и обойти двухфакторную аутентификацию, если она включена для защиты учетной записи.

Хотя на осуществление брутфорс-атак обычно уходит несколько часов, а то и дней, в данном случае атака занимает всего несколько минут. Для эксплуатации уязвимости у атакующего должны быть действительные учетные данные для доступа к cPanel (получить их можно с помощью фишинга).

Исследователи сообщили разработчику об уязвимости, и патч был выпущен на прошлой неделе. Проблема исправлена в версиях cPanel & WHM 11.92.0.2, 11.90.0.17 и 11.86.0.32.

Источник: securitylab.ru

Вы можете оставить комментарий, или ссылку на Ваш сайт.


Оставить комментарий

Вы должны войти, чтобы иметь возможность оставлять комментарии.