محققان امنیتی یک نقص امنیتی در سی پنل cPanel کشف کردند. سی پنل مجموعه نرم افزاری معروفی است که توسط شرکتهای میزبان وب برای مدیریت وب سایت مشتریان استفاده میشود.
این باگ که توسط محققان امنیتی Digital Defense کشف شده است ، به مهاجمان اجازه میدهد تا احراز هویت دو مرحلهای (2FA) را در حساب های cPanel دور بزنند.
صاحبان وب سایت از این حساب ها برای دسترسی و مدیریت وب سایتها و تنظیمات اساسی سرور استفاده میکنند.
دسترسی به این حسابها بسیار حیاتی است ، زیرا به محض به خطر افتادن ، آنها كنترل كامل سایت قربانی را در دست خود قرار میدهند.
اخیراً cPanel در وب سایت خود اعلام کرد که نرم افزار آنها در حال حاضر توسط صدها شرکت ارائه دهنده میزبانی وب برای مدیریت بیش از 70 میلیون دامنه در سراسر جهان استفاده میشود.
اعلامیه دیجیتال دیفنس
دیجیتال دیفنس ، در یک بیانیه مطبوعاتی اعلام کرده است که اجرای احراز هویت دو مرحلهای (2FA) بر روی نرم افزار قدیمی (cPanel & WebHost Manager) در برابر حملات هکرها آسیب پذیر است.
این آسیبپذیری به هکرها اجازه میدهد تا پارامترهای URL را حدس بزنند و اگر احراز هویت 2FA برای حساب فعال شده باشد آن را دور بزنند.
خدمات طراحی سایت
سرویس طراحی سایت یکی از سرویسهای شرکت ebgroup است. طراحی سایت فروشگاهی، شرکتی، شخصی تنها چند مورد از خدمات طراحی سایت ebgroup است که با وردپرس یا اختصاصی؛ سایت طراحی میشود.
همچنین دیجیتال دیفنس گفته است : اگرچه حملات هکرها به طور کلی ، معمولاً ساعتها یا روزها طول میکشد ، اما در این مورد خاص ، این حمله فقط به چند دقیقه زمان نیاز دارد.
معمولاً برای استفاده از این باگ امنیتی لازم است که مهاجمان دارای حساب کاربری یا اعتبار هدفمند باشند که این موارد را نیز میتوان از فیشینگ صاحب وب سایت دریافت کرد.
اگرچه ممکن است برخی از دارندگان وب سایت فکر کنند این باگ مهمی نیست. اما از آنجایی که احراز هویتهای دومرحلهای 2FA برای محافظت در برابر استفاده از گواهی نامه های فیشینگ ابداع شده اند، برعکس هرگونه دور زدن 2FA مانند این باگ باید با نهایت نگرانی مورد توجه قرار گیرد.
خبر خوب این است که دیجیتال دیفنس باگی را که به عنوان SEC-575 ردیابی شد ، به صورت خصوصی به تیم سی پنل cPanel گزارش داده است و این تیم نیز هفته گذشته آپدیتهایی را منتشر کرده است.
دارندگان وب سایتی که از 2FA در ورود به سیستم cPanel خود استفاده میکنند، میتوانند با بررسی شماره نسخه سیستم عامل ، ببینند که ارائه دهنده میزبانی وب آنها به روزرسانی را برای cPanel خود انجام داده است یا خیر.
طبق مشاوره امنیتی cPanel ، مسئله باگ 2FA در نرم افزار cPanel & WHM 11.92.0.2 ، 11.90.0.17 و 11.86.0.32 برطرف شده است.
به همین دلیل ، کاربران نباید 2FA را برای حساب های cPanel خود غیرفعال کنند ، اما در عوض باید از ارائه دهندگان خدمات میزبانی وب خود درخواست کنند cPanel را به آخرین نسخه به روزرسانی کنند.
منبع: نقص امنیتی در سی پنل cPanel
3 دیدگاه دربارهٔ «نقص امنیتی در سی پنل cPanel»
چه مطالب خوب و اموزنده ای است ممنون
ممنون
مطالب در مورد سی پنل cPanel خوب و کامل است.