cPanel, постачальник популярних інструментів адміністрування для управління веб-хостингом, виправив вразливість системи безпеки, яка могла дозволити зловмисникам, які мають доступ до дійсних облікових даних, обійти захист облікового запису з двофакторною аутентифікацією (2FA).

Проблема, позначена як «SEC-575» і виявлена ​​дослідниками з Digital Defense, була усунена компанією в версіях програмного забезпечення 11.92.0.2, 11.90.0.17 і 11.86.0.32.

cPanel і WHM (Web Host Manager) пропонують панель управління на основі Linux, що дозволяє користувачам управляти веб-сайтом і сервером, включаючи такі завдання, як додавання субдоменів і виконання обслуговування системи та панелі управління. На сьогодні понад 70 мільйонів доменів були запущені на серверах з використанням програмного пакета cPanel.

Проблема виникла через відсутність обмеження швидкості при перевірці другого фактора під час входу в систему. Це дозволяло зловмисникові повторно відправляти коди перевірки з використанням атаки Brute Force та обходити двофакторну аутентифікацію.

Дослідники Digital Defense заявили, що таку атаку можна провести за лічені хвилини.

«Політика безпеки cPanel з двофакторною аутентифікацією не завадила зловмиснику неодноразово відправляти коди двофакторної аутентифікації», – йдеться в повідомленні cPanel. «Це дозволило зловмисникові обійти перевірку двофакторної аутентифікації з використанням Brute Force».

Тепер компанія усунула цей недолік, додавши перевірку обмеження швидкості у свою службу захисту від перебору cPHulk, в результаті чого невдала перевірка коду 2FA буде розглядатися як невдалий вхід в систему.

Це не перший раз, коли відсутність обмеження швидкості становить серйозну проблему безпеки.

Ще в липні додаток для відеоконференцзв’язку Zoom усунув лазівку в системі безпеки, яка могла дозволити потенційним зловмисникам зламати числовий код доступу, який використовується для захисту приватних зібрань на платформі, і стеження за учасниками.

Як уникати таких ситуацій?

Фахівці компанії CoreWin рекомендують не забувати про веб-сканер вразливості при побудові своєї системи безпеки. А в нашому портфоліо ви можете знайти одне з кращих рішень – NetSparker. Це рішення для забезпечення безпеки веб-додатків допомагає підприємствам будь-якого розміру з усіх галузевих вертикалей. Малі підприємства, а також організації зі списку Fortune 500 покладаються на NetSparker для виявлення вразливостей у своїх веб-додатках і визначення пріоритетності виправлень.