Двухфакторную аутентификацию в cPanel можно обойти

Исследователи безопасности ИБ-компании Digital Defense обнаружили серьезную уязвимость в ПО для управления сайтами cPanel, пользующемся большой популярностью у хостинговых компаний. С ее помощью злоумышленник может обойти реализованный в cPanel механизм двухфакторной аутентификации для защиты учетных записей.

Учетные записи cPanel используются владельцами сайтов для доступа и управления настройками сайтов и серверов. Доступ к учетным записям является критическим, и, если злоумышленнику удастся его получить, он сможет захватить полный контроль над сайтом жертвы.

По данным разработчика cPanel, в настоящее время ПО используется сотнями web-хостинговых компаний для управления более чем 70 млн доменов по всему миру.

Как сообщают исследователи Digital Defense, реализация двухфакторной аутентификации в старых версиях cPanel & WebHost Manager (WHM) уязвима к брутфорс-атакам. Злоумышленник может подобрать URL-параметры и обойти двухфакторную аутентификацию, если она включена для защиты учетной записи.

Хотя на осуществление брутфорс-атак обычно уходит несколько часов, а то и дней, в данном случае атака занимает всего несколько минут. Для эксплуатации уязвимости у атакующего должны быть действительные учетные данные для доступа к cPanel (получить их можно с помощью фишинга).

Исследователи сообщили разработчику об уязвимости, и патч был выпущен на прошлой неделе. Проблема исправлена в версиях cPanel & WHM 11.92.0.2, 11.90.0.17 и 11.86.0.32.