您的主機商更新了沒?cPanel存在漏洞
cPanel和WHM竟存在漏洞,繞過2FA數百萬網站遭駭客攻擊。
您的主機商都完成更新了嗎?
捕夢網已完成更新cpanel主機,提供您最完整、最安全的主機!
cPanel 是安裝在Web hosting的軟體,安全漏洞存在,讓攻擊者以暴力攻擊手法繞過雙重身份驗證(2FA)核實保護;換句話說,該攻擊是針對使用cPanel&Web Host Manager(WHM)軟體的 2FA 容易受到暴力攻擊,使攻擊者能夠猜測 URL 參數並繞過 2FA。
cPanel是通常安裝在shared Web hosting的管理軟體,它允許管理員和網站使用者使用圖形使用者介面自動執行伺服器和網站管理。
其網站上,cPanel聲稱目前被數多家主機代管商所使用,以管理全球超過7,000萬個網域。
發掘所需的有效身份驗證
資安公司Digital Defense的研究人員Michael Clark和Wes Wright發現了該漏洞,追踪為CVE-2020-27641。
攻擊者可能濫用CVE-2020-27641漏洞,在數百萬個網站上安裝cPanel的帳戶繞過2FA的身分驗證,原因為cPanel的安全政策未阻止攻擊者重複提交雙重身份驗證代碼。
研究人員說明: 當啟用MFA後且沒有進行任何鎖定或延遲來防止暴力攻擊時,啟用該功能的用戶可以提交任意數量的MFA (多重身份驗證) key。
這導致了此情況:攻擊者可以在數小時內繞過帳戶的MFA保護。我們也自己測試並顯示,通過對攻擊如進行更精細的調整,可以在幾分鐘內就完成攻擊。
攻擊者只能在發掘“所知或讀取有效身份驗證”的cpanel 帳戶並繞過雙重身份驗證(2FA)。
發布安全更新
cPanel已發布安全更新,已解決這些包含cPanel和WHM版本11.92.0.2、11.90.0.17和11.86.0.32中的漏洞,可通過軟體更新下載。
在更新的cPanel版本上,為了解決這個問題,該公司在cPHulk暴力保護服務中加入了速率限制檢查,如果2FA代碼驗證失敗,就會被視為登錄失敗。
該公司在發布CVE-2020-27641安全更新後上週表示:“沒有理由相信這些漏洞公布於眾。”
因此,cPanel目前僅會發布有限的漏洞訊息。
一旦有足夠的時間允許cPanel&WHM系統將自動更新到新版本,cPanel將發布額外有關安全議題訊息。
捕夢網已更新cpanel 協助您的主機更安全無虞!!
文章參考處:
