cPanel是管理web托管的流行管理工具的提供商，它修補(bǔ)了一個(gè)安全漏洞，該漏洞可能允許遠(yuǎn)程攻擊者訪問有效憑據(jù)，繞過帳戶的兩因素身份驗(yàn)證（2FA）保護(hù)。

該問題被稱為“seco -575”，由Digital Defense研究人員發(fā)現(xiàn)，該公司在軟件的11.92.0.2、11.90.0.17和11.86.0.32版本中對(duì)其進(jìn)行了修復(fù)。

cPanel和WHM（Web主機(jī)管理器）提供了一個(gè)基于Linux的控制面板，供用戶處理網(wǎng)站和服務(wù)器管理，包括添加子域、執(zhí)行系統(tǒng)和控制面板維護(hù)等任務(wù)。到目前為止，使用cPanel的軟件套件在服務(wù)器上啟動(dòng)了超過7000萬個(gè)域。

該問題源于在登錄期間2FA缺乏速率限制，從而使得攻擊者能夠使用暴力方法反復(fù)提交2FA代碼并繞過身份驗(yàn)證檢查。

Digital Defense研究人員表示，這種攻擊可以在幾分鐘內(nèi)完成。

“雙因素身份驗(yàn)證cPanel安全策略沒有阻止攻擊者重復(fù)提交雙因素身份驗(yàn)證代碼，”cPanel表示，“這使得攻擊者能夠使用暴力技術(shù)繞過雙因素身份驗(yàn)證檢查?！?/p>

為了解決這個(gè)問題，該公司在cPHulk蠻力保護(hù)服務(wù)中加入了速率限制檢查，如果2FA代碼驗(yàn)證失敗，就會(huì)被視為登錄失敗。

這已經(jīng)不是第一次因?yàn)闆]有限制速率而引發(fā)嚴(yán)重的安全問題了。

早在今年7月，視頻會(huì)議應(yīng)用Zoom修復(fù)了一個(gè)安全漏洞，該漏洞可能使?jié)撛诠粽咂平庥糜谠谄脚_(tái)上保護(hù)私人會(huì)議的數(shù)字密碼，并監(jiān)聽參會(huì)者。

我們建議cPanel的用戶使用補(bǔ)丁來降低與該漏洞相關(guān)的風(fēng)險(xiǎn)。

?

消息及封面來源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/