cPanel 和 WHM 软件中存在双因素身份验证绕过漏洞

cPanel是管理web托管的流行管理工具的提供商，它修补了一个安全漏洞，该漏洞可能允许远程攻击者访问有效凭据，绕过帐户的两因素身份验证（2FA）保护。

该问题被称为“seco -575”，由Digital Defense研究人员发现，该公司在软件的11.92.0.2、11.90.0.17和11.86.0.32版本中对其进行了修复。

cPanel和WHM（Web主机管理器）提供了一个基于Linux的控制面板，供用户处理网站和服务器管理，包括添加子域、执行系统和控制面板维护等任务。到目前为止，使用cPanel的软件套件在服务器上启动了超过7000万个域。

该问题源于在登录期间2FA缺乏速率限制，从而使得攻击者能够使用暴力方法反复提交2FA代码并绕过身份验证检查。

Digital Defense研究人员表示，这种攻击可以在几分钟内完成。

“双因素身份验证cPanel安全策略没有阻止攻击者重复提交双因素身份验证代码，”cPanel表示，“这使得攻击者能够使用暴力技术绕过双因素身份验证检查。”

为了解决这个问题，该公司在cPHulk蛮力保护服务中加入了速率限制检查，如果2FA代码验证失败，就会被视为登录失败。

这已经不是第一次因为没有限制速率而引发严重的安全问题了。

早在今年7月，视频会议应用Zoom修复了一个安全漏洞，该漏洞可能使潜在攻击者破解用于在平台上保护私人会议的数字密码，并监听参会者。

我们建议cPanel的用户使用补丁来降低与该漏洞相关的风险。

消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ”