Hlavní navigace

Chyba umožňuje obejít dvoufaktorovou autentizaci v cPanelu

Sdílet

Petr Krčmář 26. 11. 2020
cPanel

Byla objevena závažná bezpečnostní chyba v populárním nástroji cPanel, který využívají webhostingové společnosti ke správě účtů svých zákazníků. Chyba objevená lidmi z Digital Defense dovoluje útočníkům obejít dvoufaktorovou autentizaci účtů vedených v cPanelu. Ty jsou zákazníky používány ke správě webů, takže jejich zneužití může vést k plné kompromitaci webu.

cPanel tvrdí, že jeho software používají tisíce hostingů ke správě více než 70 milionů domén po celém světě. Oznámení o bezpečnostní chybě ukazuje, že implementace dvoufaktoru ve starší verze nástroje cPanel & WebHost Manager (WHM) je zranitelná k útoku hrubou silou, který umožňuje útočníkovi uhádnout parametry v URL a tím úplně obejít požadavky na dvoufaktor.

Podobné útoky hrubou silou obvykle trvají hodiny či dny, v tomto případě stačí k úspěchu pouhé minuty. Útočník ovšem potřebuje mít platné přihlašovací údaje k účtu, ale ty lze získat třeba pomocí phishingu nebo cíleného malware. Právě proti tomu by mělo bránit dvoufaktorové přihlašování, které je ale v tomto případě možné obejít. Dobrou zprávou je, že chyba byla nahlášena nejdříve vývojářům a čerstvé verze cPanel už mají chybu opravenou.

Našli jste v článku chybu?