cPanel, поставщик популярных инструментов администрирования для управления веб-хостингом, исправил уязвимость системы безопасности, которая могла позволить злоумышленникам, имеющим доступ к действительным учётным данным, обойти защиту учётной записи с двухфакторной аутентификацией (2FA).

Проблема, обозначенная как «SEC-575» и обнаруженная исследователями из Digital Defense, была устранена компанией в версиях программного обеспечения 11.92.0.2, 11.90.0.17 и 11.86.0.32.

cPanel и WHM (Web Host Manager) предлагают панель управления на основе Linux, позволяющую пользователям управлять веб-сайтом и сервером, включая такие задачи, как добавление субдоменов и выполнение обслуживания системы и панели управления. На сегодняшний день более 70 миллионов доменов были запущены на серверах с использованием программного пакета cPanel.

Проблема возникла из-за отсутствия ограничения скорости при проверке второго фактора во время входа в систему. Это позволяло злоумышленнику повторно отправлять коды проверки с использованием атаки Brute Force и обходить двухфакторную аутентификацию.

Исследователи Digital Defense заявили, что такую атаку можно провести за считанные минуты.

«Политика безопасности cPanel с двухфакторной аутентификацией не помешала злоумышленнику неоднократно отправлять коды двухфакторной аутентификации», — говорится в сообщении cPanel. «Это позволило злоумышленнику обойти проверку двухфакторной аутентификации с использованием Brute Force».

Теперь компания устранила этот недостаток, добавив проверку ограничения скорости в свою службу защиты от перебора cPHulk, в результате чего неудачная проверка кода 2FA будет рассматриваться как неудачный вход в систему.

Это не первый раз, когда отсутствие ограничения скорости представляет серьёзную проблему безопасности.

Ещё в июле приложение для видеоконференцсвязи Zoom устранило лазейку в системе безопасности, которая могла позволить потенциальным злоумышленникам взломать числовой код доступа, используемый для защиты частных собраний на платформе, и слежения за участниками.

Как избегать таких ситуаций?

Специалисты компании CoreWin рекомендуют не забывать про веб-сканер уязвимости при построении своей системы безопасности. А в нашем портфолио вы можете найти одно из лучших решений – NetSparker. Это решение для обеспечения безопасности веб-приложений помогает предприятиям любого размера из всех отраслевых вертикалей. Малые предприятия, а также организации из списка Fortune 500 полагаются на NetSparker для выявления уязвимостей в своих веб-приложениях и определения приоритетности исправлений.