-
09/04/2020
-
85
-
554 bài viết
Lỗi trong phần mềm quản lý website cPanel đe dọa hơn 2.500 tổ chức tại Việt Nam
Trước thềm nghỉ lễ tưởng như sẽ thư giãn và thoải mái, các quản trị viên có lẽ sẽ rùng mình khi bỗng nhiên xuất hiện một lỗ hổng nghiêm trọng có mã định danh CVE-2023-29489 trong cPanel, ảnh hưởng hàng triệu website trên thế giới, trong đó có Việt Nam.
cPanel là một phần mềm quản trị lưu trữ website trên nền tảng Linux phổ biến nhất hiện nay với rất nhiều tính năng như quản lý máy chủ web, tên miền DNS, khách hàng... Hiện phần mềm này có hơn 1,4 triệu bản cài đang mở kết nối ra Internet.
Lỗ hổng nằm trong đường dẫn /cpanelwebcall/ bị lỗi tạo điều kiện cho kẻ tấn công chèn đoạn nội dung độc hại (thường là JavaScript) vào webcall ID dẫn đến tấn công XSS (cross-site scripting). Đây là lỗ hổng điển hình của hệ thống web, cho phép hacker đánh cắp dữ liệu người dùng (phiên đăng nhập, khai thác thông tin...).
Nguy hiểm hơn, kẻ tấn công có thể thực thi mã JavaScript tùy ý trước khi xác thực trên hầu hết các cổng của máy chủ web sử dụng cPanel trong cài đặt mặc định, chiếm quyền điều khiển phiên truy cập tài khoản của người dùng.
Tiếp theo, khi đăng nhập bằng danh tính người dùng đã được xác thực trên cPanel thành công, việc tải lên một webshell (tập lệnh độc hại) và thực thi lệnh đối với kẻ tấn công sẽ dễ dàng hơn bao giờ hết, từ đó cho phép kiểm soát các máy chủ web từ xa.
Lỗ hổng CVE-2023-29489 ảnh hưởng đến các cổng quản lý cPanel như 2080, 2082, 2083, 2086, thậm chí là các ứng dụng chạy trên các cổng dịch vụ web mặc định 80 và 443.
Nghĩa là hàng triệu trang web chỉ cần được quản lý bởi cPanel đều có nguy cơ bị tấn công, kể cả các cổng quản lý cPanel có mở kết nối đến Internet hay không.
Theo thống kê của WhiteHat, Việt Nam có hơn 2.500 lượt cài đặt cPanel, trong đó có nhiều các tổ chức lớn. Một cPanel có thể quản lý nhiều website nên nếu bị khai thác có thể khiến phạm vi ảnh hưởng lan rộng.
Đồng thời, mã khai thác (PoC) của lỗ hổng đã được công bố khiến nguy cơ các tổ chức bị tấn công bởi lỗ hổng này là rất cao.
Vì vậy, chuyên gia WhiteHat khuyến cáo các tổ chức:
- Ngay lập tức cập nhật lên các phiên bản:
Đồng thời, các đơn vị đang sử dụng phần mềm cPanel, trên cả các hệ thống web chạy cổng 80 và 433 cần rà soát lại toàn bộ hệ thống để kịp thời phát hiện và xử lý nếu bị tấn công.
Lỗ hổng nằm trong đường dẫn /cpanelwebcall/ bị lỗi tạo điều kiện cho kẻ tấn công chèn đoạn nội dung độc hại (thường là JavaScript) vào webcall ID dẫn đến tấn công XSS (cross-site scripting). Đây là lỗ hổng điển hình của hệ thống web, cho phép hacker đánh cắp dữ liệu người dùng (phiên đăng nhập, khai thác thông tin...).
Nguy hiểm hơn, kẻ tấn công có thể thực thi mã JavaScript tùy ý trước khi xác thực trên hầu hết các cổng của máy chủ web sử dụng cPanel trong cài đặt mặc định, chiếm quyền điều khiển phiên truy cập tài khoản của người dùng.
Tiếp theo, khi đăng nhập bằng danh tính người dùng đã được xác thực trên cPanel thành công, việc tải lên một webshell (tập lệnh độc hại) và thực thi lệnh đối với kẻ tấn công sẽ dễ dàng hơn bao giờ hết, từ đó cho phép kiểm soát các máy chủ web từ xa.
Lỗ hổng CVE-2023-29489 ảnh hưởng đến các cổng quản lý cPanel như 2080, 2082, 2083, 2086, thậm chí là các ứng dụng chạy trên các cổng dịch vụ web mặc định 80 và 443.
Nghĩa là hàng triệu trang web chỉ cần được quản lý bởi cPanel đều có nguy cơ bị tấn công, kể cả các cổng quản lý cPanel có mở kết nối đến Internet hay không.
Theo thống kê của WhiteHat, Việt Nam có hơn 2.500 lượt cài đặt cPanel, trong đó có nhiều các tổ chức lớn. Một cPanel có thể quản lý nhiều website nên nếu bị khai thác có thể khiến phạm vi ảnh hưởng lan rộng.
Vì vậy, chuyên gia WhiteHat khuyến cáo các tổ chức:
- Ngay lập tức cập nhật lên các phiên bản:
- 11.109.9999.116
- 11.108.0.13
- 11.106.0.18
- 11.102.0.31
Đồng thời, các đơn vị đang sử dụng phần mềm cPanel, trên cả các hệ thống web chạy cổng 80 và 433 cần rà soát lại toàn bộ hệ thống để kịp thời phát hiện và xử lý nếu bị tấn công.
WhiteHat
Chỉnh sửa lần cuối: