Баг в cPanel позволял обойти двухфакторную аутентификацию (2FA)

Исследователи в области кибербезопасности из компании Digital Defense обнаружили серьёзную уязвимость в cPanel, популярной панели управления веб-хостингом. В случае успешной эксплуатации этот баг позволял злоумышленникам обойти двухфакторную аутентификацию (2FA), которой защищены аккаунты.

Подобные учётные записи нужны пользователям для управления своими сайтами. Вопрос доступа к аккаунтам cPanel крайне важен, поскольку в случае перехвата позволяет преступнику захватить веб-ресурсы жертвы.

Как утверждают представители cPanel на официальном сайте, их панель управления используют сотни компаний, обеспечивающих услуги веб-хостинга. В общей сложности эти хостеры обслуживают более 70 миллионов доменов по всему миру.

В пресс-релизе Digital Defense исследователи отмечают, что имплементация 2FA у cPanel уязвима к атакам вида брутфорс. В результате злоумышленники могут вычислить URL-параметры и обойти двухфакторную аутентификацию, настроенную для доступа к аккаунту.

По словам специалистов, для эксплуатации этой бреши атакующим потребуется всего несколько минут. Напомним, что чаще всего брутфорс занимает часы или даже дни. Также стоит учитывать, что для успешной атаки злоумышленники должны знать актуальные учётные данные жертвы (их можно получить с помощью фишинга).

Возможно, уязвимость не покажется столь серьёзной, если брать во внимание необходимость заполучить логин и пароль, однако двухфакторная аутентификация как раз и предназначена для защиты аккаунтов от подобного.

Эксперты Digital Defense сообщили о баге (отслеживается как SEC-575) разработчикам cPanel, а последние выпустили патч.