I ricercatori di Digital Defense hanno scoperto una grave falla nella sicurezza di cPanel, uno dei software più utilizzati per la gestione dei web hosting. Il bug permetterebbe agli hacker di bypassare l’autenticazione a due fattori (2FA) nei vari account cPanel, utilizzati dalle aziende per gestire i loro siti e quelli dei clienti, e definendo le impostazioni a livello di server. Una volta ottenuto l’accesso agli account, l’hacker ha il pieno controllo sui siti della vittima.
Nel recente comunicato stampa, Digital Defense afferma che l’implementazione della 2FA sui vecchi software cPanel e WebHost Manager (VHM) era vulnerabile agli attacchi brute-force che consentivano agli hacker di indovinare i parametri dell’URL bypassando la 2FA, se attiva. Un attacco che, sempre secondo i ricercatori, richiedeva pochi minuti.
Per sfruttare il bug, gli hacker devono disporre delle credenziali di accesso valide: un’informazione che può essere ottenuta via phishing, sebbene la 2FA sia stata inventata proprio per prevenire questa pratica.
Attualmente cPanel gestisce più di 70 milioni di siti e la buona notizia è che Digital Defense ha riportato privatamente il bug al team di cPanel, identificato come SEC-575, che ha già prontamente rilasciato le patch.
Gli utilizzatori della 2FA possono controllare l’aggiornamento verificando il numero della versione di cPanel: secondo il security advisory dell’azienda, il bug nella 2FA è stato risolto nei software VHM e cPanel 11.92.0.2, 11.90.0.16 e 11.86.0.32.
Il consiglio è di richiedere al loro hosting provider di aggiornare la versione di cPanel.