• Thursday, October 1, 2020

Una vulnerabilidad que afecta a la plataforma de alojamiento web cPanel & WebHost Manager (WHM) podría permitir a un atacante eludir la autenticación de dos factores (2FA) y realizar un ataque de fuerza bruta para infiltrarse en las cuentas de los usuarios.

 

Tal ataque se puede lograr en minutos, según los investigadores de Digital Defense, lo que permite a los piratas informáticos obtener acceso injustificado a las herramientas de administración de sitios web de los usuarios y comprometer los sitios que alojan en cPanel.

 

Los proveedores y usuarios de hospedaje pueden utilizar cPanel & WHM como un conjunto de herramientas para el sistema operativo Linux para automatizar la administración del servidor y las tareas de hospedaje web mientras se simplifica el proceso de hospedaje web para el usuario. La plataforma afirma albergar más de 70 millones de dominios en total lanzados en servidores que utilizan cPanel y WHM.

 

"Nuestra práctica estándar es trabajar en conjunto con las organizaciones en un esfuerzo de divulgación coordinado para facilitar una rápida resolución de una vulnerabilidad", dijo el vicepresidente senior de ingeniería de Digital Defense, Mike Cotton.

 

“El VRT de Digital Defense se acercó a cPanel, quien trabajó diligentemente en un parche. Continuaremos acercándonos a los clientes para asegurarnos de que estén al tanto y sean capaces de tomar medidas para mitigar cualquier riesgo potencial introducido por la vulnerabilidad ".

 

Aunque se ha entendido ampliamente que 2FA es una capa adicional útil de protección por encima de la seguridad con contraseña, cuya confiabilidad muchos en la industria de la seguridad tienen sentimientos encontrados, últimamente se han ideado varias técnicas de derivación.

 

Un ejemplo destacado de principios de este año es un troyano bancario de Android que pudo eludir 2FA al comprometer las funciones de accesibilidad de un dispositivo. En septiembre, también se descubrieron vulnerabilidades críticas en los protocolos de autenticación multifactor (MFA) basados ​​en el estándar de seguridad WS-Trust. Aprovechar esta falla podría permitir a los piratas informáticos infiltrarse en los servicios centrales de Microsoft, como Microsoft 365.

 

El año pasado, el investigador de seguridad Piotr Duszynski incluso lanzó una herramienta que podría eludir una serie de esquemas 2FA ampliamente utilizados en plataformas como Gmail y Yahoo.

 

Según un aviso emitido por cPanel, la Política de seguridad de 2FA cPanel no impedía que un atacante enviara códigos 2FA repetidamente. Esto permitió a un atacante pasar por alto la verificación 2FA utilizando técnicas de fuerza bruta. Esencialmente, un atacante podría probar variaciones ilimitadas de códigos 2FA hasta llegar al correcto para acceder a la cuenta.

 

Para solucionar la situación, los códigos 2FA incorrectos ahora se tratan como el equivalente a un intento fallido de validación de contraseña. El problema ahora se ha resuelto en varias versiones, incluidas 11.92.0.2, 11.90.0.17 y 11.86.0.32.