3 vulnerabilidades críticas en cPanel permiten tomar el control de las bases de datos y esquivar 2FA en cuestión de minutos
Especialistas en ciberseguridad reportan el hallazgo de tres vulnerabilidades en CPanel, un panel de control para administrar servidores de hosting web que proveen herramientas de automatización y una interfaz gráfica basada en páginas web.
En la primera falla, muchas interfaces de cPanel y WHM crean URI para otras interfaces incorporando datos proporcionados por el usuario en los parámetros de consulta de URI. Varias interfaces de cPanel y WHM usaban codificación URL en estos parámetros en lugar de codificación URI. Debido a este error, un usuario de cPanel & WHM podría ser engañado para realizar acciones arbitrarias.
Por el momento esta vulnerabilidad no cuenta con clave de identificación CVE o puntaje según el Common Vulnerability Scoring System (CVSS).
La segunda vulnerabilidad reportada reside en el mecanismo de autenticación multifactor, que no cuenta con un método de prevención de ataques de fuerza bruta. Los actores de amenazas podrían obtener acceso al sistema objetivo con facilidad.
Esta es una vulnerabilidad de severidad baja que recibió un puntaje de 3.8/10 y su explotación permitiría a los hackers maliciosos acceder a los sistemas afectados de forma remota.
Finalmente, la tercera falla existe debido a la inapropiada desinfección de los datos proporcionados por el usuario en la interfaz WHM Transfer Tool. Los actores de amenazas remotos podrían engañar a las víctimas para que sigan enlaces especialmente diseñados y ejecutar código HTML y script arbitrario en el navegador del usuario objetivo.
La falla recibió un puntaje de 5.3/10 y su explotación permitiría el robo de información confidencial, la modificación de la interfaz de un sitio web, el despliegue de ataques de phishing, entre otros escenarios.
A pesar de que las fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, los expertos no han detectado intentos de explotación activa o la existencia de un malware vinculado al ataque.
Las actualizaciones ya están disponibles, por lo que se recomienda a los usuarios de instalaciones vulnerables actualizar a la brevedad.
