В cPanel и Web Host Manager (WHM) выявлена критическая уязвимость, позволяющая атакующим получить административный доступ без прохождения аутентификации. Проблема затрагивает все поддерживаемые версии панели управления и уже использовалась в реальных атаках.
Уязвимость связана с некорректной обработкой механизма аутентификации. Исследователи установили, что злоумышленник может обойти проверки входа и создать сессию с привилегиями администратора, не имея учетных данных.
Получение root-доступа через подмену сессии
Атака основана на манипуляции процессом создания и загрузки сессий. До завершения аутентификации сервис cPanel (cpsrvd) записывает файл сессии на диск. Уязвимость позволяет вмешаться в этот процесс и изменить содержимое сессии.
Через специально сформированный HTTP-заголовок злоумышленник может внедрить управляющие символы перевода строки (\r\n). Эти данные записываются в файл сессии без должной фильтрации, что позволяет добавить произвольные параметры, например указать пользователя root.
После повторной загрузки сессии система воспринимает такую запись как валидную, предоставляя атакующему полный административный доступ к WHM.
Масштаб и последствия
Компрометация cPanel отличается от взлома отдельного сайта. WHM управляет сервером целиком, поэтому доступ администратора означает контроль над всеми размещенными сайтами, базами данных и учетными записями.
Злоумышленник может получить доступ ко всем данным пользователей, изменять файлы и базы данных, создавать скрытые учетные записи, устанавливать вредоносное ПО и использовать сервер для дальнейших атак.
По оценкам исследователей, в интернете доступно более двух миллионов установок cPanel, что делает уязвимость особенно опасной.
Активная эксплуатация и обновления
Сообщается, что уязвимость эксплуатировалась как минимум в течение нескольких недель до публикации.
cPanel выпустила обновления безопасности, закрывающие проблему, и рекомендовала администраторам как можно быстрее обновить системы. Исправления доступны для всех поддерживаемых веток продукта.
Также опубликован скрипт для обнаружения признаков компрометации, включая аномальные сессии и подозрительные значения параметров авторизации.
Источник: HN