Двухфакторную аутентификацию в cPanel можно обойти

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

25 ноября 2020 года

Wikinews-logo-ru.svg

Исследователи безопасности ИБ-компании Digital Defense обнаружили серьезную уязвимость в ПО для управления сайтами cPanel, пользующемся большой популярностью у хостинговых компаний. С ее помощью злоумышленник может обойти реализованный в cPanel механизм двухфакторной аутентификации для защиты учетных записей.

Учетные записи cPanel используются владельцами сайтов для доступа и управления настройками сайтов и серверов. Доступ к учетным записям является критическим, и, если злоумышленнику удастся его получить, он сможет захватить полный контроль над сайтом жертвы.

По данным разработчика cPanel, в настоящее время ПО используется сотнями web-хостинговых компаний для управления более чем 70 млн доменов по всему миру.

Как сообщают исследователи Digital Defense, реализация двухфакторной аутентификации в старых версиях cPanel & WebHost Manager (WHM) уязвима к брутфорс-атакам. Злоумышленник может подобрать URL-параметры и обойти двухфакторную аутентификацию, если она включена для защиты учетной записи.

Хотя на осуществление брутфорс-атак обычно уходит несколько часов, а то и дней, в данном случае атака занимает всего несколько минут. Для эксплуатации уязвимости у атакующего должны быть действительные учетные данные для доступа к cPanel (получить их можно с помощью фишинга).

Исследователи сообщили разработчику об уязвимости, и патч был выпущен на прошлой неделе. Проблема исправлена в версиях cPanel & WHM 11.92.0.2, 11.90.0.17 и 11.86.0.32.

 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Двухфакторную аутентификацию в cPanel можно обойти