Сайт ZPanel был взломан после оскорбительного сообщения одного из разработчиков панели управления

Сайт ZPanel был взломан после оскорбительного сообщения одного из разработчиков панели управления

Использование небезопасного метода кодирования в ZPanel неоднократно подвергалось критике.

Разработчики открытой панели управления хостингом ZPanel расплачиваются за свое пренебрежительное отношение к проблемам безопасности панели. Использование небезопасного метода кодирования неоднократно подвергалось критике, однако разработчики реагировали на нее в грубой форме и не предпринимали действий по улучшению безопасности.

Ранее один из участников проекта ZPanel Найджел Колдуэлл (Nigel Caldwell) на официальном форуме ZPanel заявил, что панель является более безопасным продуктом, чем имеющиеся аналоги, и что у пользователей больше шансов компрометации систем через уязвимости в ОС, чем через уязвимости в ZPanel.

В ответ на это заявление нидерландский разработчик ПО Свен Слутвег (Sven Slootweg) опубликовал на форуме сообщение, в котором заявил о проблеме, затрагивающей систему шаблонов, остававшейся неисправленной более 8 месяцев. Обнаруженная уязвимость позволяла выполнить произвольный PHP-код с правами root. Слутвег опубликовал данные о методе эксплуатации бреши.

Тем не менее, разработчики ZPanel отказались признать это серьезной проблемой, заявив, что для эксплуатации уязвимости требуется загрузка шаблона, а эта операция доступна только пользователю с привилегиями администратора. При этом, несмотря на запрет по умолчанию, при включении функции изменения внешнего вида интерфейса, любой получивший право перепродавать услуги хостинга может выполнить свой код с правами root на сервере. 

После того, как Слутвег продолжал настаивать на том, что ZPanel следует пересмотреть свое отношение к безопасности и, в частности, исправить проблемы с возможностью осуществления межсайтовых запросов, Колдуэлл ответил ему на официальном форуме в весьма грубой форме, назвав Слутвега «f*cken little know it all».

Через несколько часов после оскорбительного сообщения сайт ZPanel и учетные записи на форуме, принадлежащие Колдуэллу и еще одному разработчику, Тому Гейтсу (Tom Gates), были взломаны. При этом, якобы от лица Колдуэлла, было опубликовано сообщение: «Привет. Недавно мы поняли, что не в состоянии обеспечить безопасность кода и решили закрыть проект. До свидания». Кроме того, в открытом доступе оказались скриншот входа с правами root на один из серверов инфраструктуры ZPanel и файл с хэшами паролей некоторых участников проекта.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!