DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Lỗ hổng trên Cpanel cho phép vượt qua cơ chế xác thực hai bước
Các chuyên gia an ninh mạng vừa phát hiện một lỗ hổng nghiêm trọng trong cPanel - bộ phần mềm phổ biến được các công ty lưu trữ web sử dụng để quản lý trang web cho khách hàng của mình.
Lỗi được phát hiện bởi các nhà nghiên cứu bảo mật của Digital Defense, cho phép những kẻ tấn công bỏ qua xác thực hai yếu tố (2FA) đối với tài khoản cPanel.
Các tài khoản này được chủ sở hữu trang web sử dụng để truy cập và quản lý các trang web cũng như cài đặt máy chủ. Quyền truy cập vào các tài khoản này là rất quan trọng, vì sau khi xâm nhập hacker có thể toàn quyền kiểm soát trang web của nạn nhân.
Theo thống kê, cPanel đang được hàng trăm công ty lưu trữ web sử dụng để quản lý hơn 70 triệu tên miền trên khắp thế giới.
Gần đây, Digital Defense nói rằng việc triển khai xác minh hai bước (2FA) trên các phiên bản cũ của phần mềm cPanel & WebHost Manager (WHM) dễ bị tấn công dò mật khẩu brute-force, cho phép kẻ tấn công đoán tham số URL và vượt qua cơ chế 2FA, nếu quản trị viên trang web kích hoạt cơ chế 2FA.
Việc tấn công brute-force thành công hay không phụ thuộc rất nhiều vào độ khó của mật khẩu. Tuy nhiên, nhà nghiên cứu của Digital Defense nói rằng với lỗ hổng trên cPanel & WebHost Manager, quá trình tấn công dò mật khẩu này có thể mất vài phút.
Việc khai thác lỗi này yêu cầu kẻ tấn công phải có thông tin đăng nhập hợp lệ cho tài khoản mục tiêu. Những thông tin này hacker có thể lấy thông qua tấn công lừa đảo hoặc kỹ thuật xã hội (social engineering).
Mặc dù điều này có thể khiến một số chủ sở hữu trang web nghĩ rằng lỗi này không nghiêm trọng, nhưng thực tế thì ngược lại vì 2FA được tạo ra để ngăn việc đăng nhập không hợp pháp, do đó bất kỳ lỗ hổng vượt qua cơ chế này đều cần xử lý nhanh chóng và chú ý tối đa.
Nhà nghiên cứu bảo mật đã thông báo lỗ hổng cho Cpanel và một phiên bản sửa lỗi của cPanel & WebHost Manager (11.92.0.2, 11.90.0.17, và 11.86.0.32.) đã được phát hành. Các quản trị viên trang web đang sử dụng phần mềm này, cần nhanh chóng cập nhật lên phiên bản mới nhất để tránh khỏi việc trở thành mục tiêu của những kẻ tấn công.
Lỗi được phát hiện bởi các nhà nghiên cứu bảo mật của Digital Defense, cho phép những kẻ tấn công bỏ qua xác thực hai yếu tố (2FA) đối với tài khoản cPanel.
Các tài khoản này được chủ sở hữu trang web sử dụng để truy cập và quản lý các trang web cũng như cài đặt máy chủ. Quyền truy cập vào các tài khoản này là rất quan trọng, vì sau khi xâm nhập hacker có thể toàn quyền kiểm soát trang web của nạn nhân.
Theo thống kê, cPanel đang được hàng trăm công ty lưu trữ web sử dụng để quản lý hơn 70 triệu tên miền trên khắp thế giới.
Gần đây, Digital Defense nói rằng việc triển khai xác minh hai bước (2FA) trên các phiên bản cũ của phần mềm cPanel & WebHost Manager (WHM) dễ bị tấn công dò mật khẩu brute-force, cho phép kẻ tấn công đoán tham số URL và vượt qua cơ chế 2FA, nếu quản trị viên trang web kích hoạt cơ chế 2FA.
Việc tấn công brute-force thành công hay không phụ thuộc rất nhiều vào độ khó của mật khẩu. Tuy nhiên, nhà nghiên cứu của Digital Defense nói rằng với lỗ hổng trên cPanel & WebHost Manager, quá trình tấn công dò mật khẩu này có thể mất vài phút.
Việc khai thác lỗi này yêu cầu kẻ tấn công phải có thông tin đăng nhập hợp lệ cho tài khoản mục tiêu. Những thông tin này hacker có thể lấy thông qua tấn công lừa đảo hoặc kỹ thuật xã hội (social engineering).
Mặc dù điều này có thể khiến một số chủ sở hữu trang web nghĩ rằng lỗi này không nghiêm trọng, nhưng thực tế thì ngược lại vì 2FA được tạo ra để ngăn việc đăng nhập không hợp pháp, do đó bất kỳ lỗ hổng vượt qua cơ chế này đều cần xử lý nhanh chóng và chú ý tối đa.
Nhà nghiên cứu bảo mật đã thông báo lỗ hổng cho Cpanel và một phiên bản sửa lỗi của cPanel & WebHost Manager (11.92.0.2, 11.90.0.17, và 11.86.0.32.) đã được phát hành. Các quản trị viên trang web đang sử dụng phần mềm này, cần nhanh chóng cập nhật lên phiên bản mới nhất để tránh khỏi việc trở thành mục tiêu của những kẻ tấn công.
Theo: ZDNet
Chỉnh sửa lần cuối bởi người điều hành: