نقص در احراز هویت دو مرحله ای در cPanel و نرم افزار WHM

cPanel، ارائه دهنده ابزارهای اداری محبوب برای مدیریت میزبانی وب است که اخیرا یک آسیب پذیری امنیتی که به هکر ها امکان بایپس فرایند احراز هویت دو مرحله ای می داد، را اصلاح کرده است.

این مسئله توسط محققان Digital Defense کشف و با عنوان “SEC-575” پیگیری می شود و این نقص در نسخه های ۱۱.۹۲.۰.۲ ، ۱۱.۹۰.۰.۱۷ و ۱۱.۸۶.۰.۳۲ نرم افزار برطرف شده است.

cPanel و WHM (مدیریت میزبانی وب) یک کنترل پنل مبتنی بر Linux برای مدیریت وب سایت و مدیریت سرور به کاربران ارائه می شود. تا به امروز، بیش از ۷۰ میلیون دامنه با استفاده از مجموعه نرم افزار cPanel برای کارهایی مانند افزودن زیر دامنه ها و انجام تعمیر و نگهداری سیستم و کنترل پنل در سرورها راه اندازی شده است.

این مسئله از عدم محدودیت rate در هنگام ورود با استفاده از احراز هویت دو مرحله ای ناشی شده است، که این امکان را برای مهاجمان فراهم می کند تا کدهای ۲FA را به طور مکرر با استفاده از brute-force ارسال کند و پروسه احراز هویت را دور بزنند.

محققان امنیت سایبری گفتند که حملات انجام شده با استفاده از این آسیب پذیری می تواند در عرض چند دقیقه انجام شود.

cPanel در مشاوره خود گفت: “سیاست امنیتی احراز هویت دو عاملی cPanel مانع از ارسال مکرر کدهای احراز هویت دو مرحله ای توسط مهاجم نمی شود و این نقص به مهاجمان اجازه می دهد تا با استفاده از تکنیک های brute-force بررسی های احراز هویت دو مرحله ای را دور بزنند.”

این شرکت اکنون با افزودن یک بررسی محدودیت rate به خدمات محافظت از cPHulk ، این یک ایراد را برطرف کرده است که باعث می شود کدهای نا معتبر ۲FA به عنوان ورود ناموفق شناخته شود.

این اولین بار نیست که عدم محدودیت rate ، یک نگرانی جدی امنیتی ایجاد می کند و توصیه می شود مشتریان cPanel وصله ها را برای کاهش خطر مرتبط با نقص اعمال کنند.

  • Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking   اکثر شبکه های امروزی از سرویس اکتیو دایرکتوری برای مدیریت اکانتینگشبکه استفاده میکنند . در واقع سرویس AD برای مدیریت لاگین و دسترسی [...]