cPanel es un software administrativo instalado regularmente en servicios de alojamiento web compartido que permite a los administradores y propietarios de sitios web automatizar la gestión de servidores y sitios web mediante una interfaz gráfica de usuario.
Para que seamos conscientes del problema de cPanel, alrededor de 70 millones de dominios están alojados en servidores que utilizan su software de gestión de alojamiento web. Esto supone un gran problema para la seguridad para multitud de webs, especialmente en aquellas que no actualizan con frecuencia.
Más de 70 millones de sitios podrían estar en peligro por cPanel
La vulnerabilidad, rastreada como CVE-2020-27641, fue encontrada por los investigadores Michael Clark y Wes Wright de la firma de ciberseguridad Digital Defense.
Los atacantes podrían abusar de CVE-2020-27641 para omitir la autenticación de dos factores (2FA) para cuentas cPanel. Esto sucedería en millones de webs. La directiva de seguridad de cPanel no les impidió enviar repetidamente códigos de autenticación de dos factores.
«Cuando MFA está habilitado, un usuario que tiene la característica habilitada puede enviar tantos intentos para la clave de MFA como desee sin ningún bloqueo o retrasos para evitar un ataque de fuerza bruta», dijeron los investigadores.
«Esto da como resultado un escenario en el que un atacante con conocimiento de credenciales válidas podría omitir las protecciones de MFA en una cuenta en cuestión de horas. Nuestras pruebas han demostrado que con una afinación más fina del ataque se puede lograr en minutos».
Los atacantes sólo pueden explotar el defecto de derivación 2FA en las cuentas donde tienen «conocimiento o acceso a credenciales válidas.»
Ya hay actualizaciones de seguridad disponibles
cPanel ha publicado actualizaciones de seguridad para solucionar la vulnerabilidad en las versiones 11.92.0.2, 11.90.0.17 y 11.86.0.32 de cPanel y WHM, disponibles para su descarga a través de Actualización de software.
En las versiones actualizadas de cPanel, los intentos de fuerza bruta en 2FA dará lugar a errores de validación de contraseña. Mientras, los futuros intentos de ataque se limitarán mediante cPHulk.
«No hay razón para creer que estas vulnerabilidades se han hecho conocidas al público.» Esto indicaba la compañía la semana pasada después de lanzar las actualizaciones de seguridad CVE-2020-27641.
«Una vez transcurrido el tiempo suficiente, lo que permite que se lancen las actualizaciones automáticas de cPanel y WHM. cPanel divulgará información adicional sobre la naturaleza de los problemas de seguridad.»
Se recomienda a los usuarios de cPanel comunicarse con la empresa directamente. Para obtener más detalles con respecto a la falla de derivación 2FA si es necesario.
