Lỗ hổng trên Cpanel cho phép vượt qua cơ chế xác thực hai bước

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 26/11/20, 02:11 PM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,849
    Đã được thích: 446
    Điểm thành tích:
    83
    Các chuyên gia an ninh mạng vừa phát hiện một lỗ hổng nghiêm trọng trong cPanel - bộ phần mềm phổ biến được các công ty lưu trữ web sử dụng để quản lý trang web cho khách hàng của mình.

    Lỗi được phát hiện bởi các nhà nghiên cứu bảo mật của Digital Defense, cho phép những kẻ tấn công bỏ qua xác thực hai yếu tố (2FA) đối với tài khoản cPanel.

    Các tài khoản này được chủ sở hữu trang web sử dụng để truy cập và quản lý các trang web cũng như cài đặt máy chủ. Quyền truy cập vào các tài khoản này là rất quan trọng, vì sau khi xâm nhập hacker có thể toàn quyền kiểm soát trang web của nạn nhân.

    Theo thống kê, cPanel đang được hàng trăm công ty lưu trữ web sử dụng để quản lý hơn 70 triệu tên miền trên khắp thế giới.

    cpanel.png

    Gần đây, Digital Defense nói rằng việc triển khai xác minh hai bước (2FA) trên các phiên bản cũ của phần mềm cPanel & WebHost Manager (WHM) dễ bị tấn công dò mật khẩu brute-force, cho phép kẻ tấn công đoán tham số URL và vượt qua cơ chế 2FA, nếu quản trị viên trang web kích hoạt cơ chế 2FA.

    Việc tấn công brute-force thành công hay không phụ thuộc rất nhiều vào độ khó của mật khẩu. Tuy nhiên, nhà nghiên cứu của Digital Defense nói rằng với lỗ hổng trên cPanel & WebHost Manager, quá trình tấn công dò mật khẩu này có thể mất vài phút.

    Việc khai thác lỗi này yêu cầu kẻ tấn công phải có thông tin đăng nhập hợp lệ cho tài khoản mục tiêu. Những thông tin này hacker có thể lấy thông qua tấn công lừa đảo hoặc kỹ thuật xã hội (social engineering).

    Mặc dù điều này có thể khiến một số chủ sở hữu trang web nghĩ rằng lỗi này không nghiêm trọng, nhưng thực tế thì ngược lại vì 2FA được tạo ra để ngăn việc đăng nhập không hợp pháp, do đó bất kỳ lỗ hổng vượt qua cơ chế này đều cần xử lý nhanh chóng và chú ý tối đa.

    Nhà nghiên cứu bảo mật đã thông báo lỗ hổng cho Cpanel và một phiên bản sửa lỗi của cPanel & WebHost Manager (11.92.0.2, 11.90.0.17, và 11.86.0.32.) đã được phát hành. Các quản trị viên trang web đang sử dụng phần mềm này, cần nhanh chóng cập nhật lên phiên bản mới nhất để tránh khỏi việc trở thành mục tiêu của những kẻ tấn công.

    Theo: ZDNet
     
    Last edited by a moderator: 26/11/20, 03:11 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Delete thích bài này.
  2. Delete

    Delete W-------

    Tham gia: 18/10/15, 10:10 AM
    Bài viết: 9
    Đã được thích: 8
    Điểm thành tích:
    3
    Có thêm bài phân tích cơ chế nữa thì tốt quá. Dù gì thì Cpanel là phần mềm trả phí, hy vọng sẽ sớm có bản vá lỗi, rất nhiều doanh nghiệp sử dụng Cpanel để cung cấp dịch vụ hosting cho khách hàng
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,849
    Đã được thích: 446
    Điểm thành tích:
    83
    Nhà phát triển đã phát hành bản vá rồi mà bạn.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    WhiteHat News #ID:2018 thích bài này.
  4. tranthongqn

    tranthongqn New Member

    Tham gia: 28/10/20, 08:10 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Cám ơn admin đã chia sẻ, hiện nay có thể nói gần 80% website tại Việt Nam đều sử dụng cPanel để quản lý.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan