Michael Clark และ Wes Wright นักวิจัยด้านความปลอดภัยจาก Digital Defense ได้เปิดเผยถึงช่องโหว่การ Bypass การตรวจสอบบัญชีด้วย Two-Factor Authentication (2FA) ผ่านการโจมตีแบบ Brute-force บนซอฟต์แวร์ cPanel และ WebHost Manager (WHM) ซึ่งเป็นซอฟต์แวร์การดูแลระบบที่จะช่วยให้ผู้ดูแลระบบและเจ้าของเว็บไซต์สามารถจัดการเซิร์ฟเวอร์และเว็บไซต์ได้โดยอัตโนมัติ โดยใช้กราฟิกยูสเซอร์อินเทอร์เฟซ

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-27641 โดยช่องโหว่จะเปิดโอกาศให้ผู้ประสงค์ร้ายสามารถทำการโจมตีแบบ Brute-force เพื่อทำการ Bypass การตรวจสอบการเข้าสู่บัญชีด้วย 2FA เนื่องจาก cPanel ไม่ได้บล็อกผู้ใช้หากผู้ใช้ทำการใส่รหัส 2FA ซ้ำๆ กันบ่อยๆ ซึ่งนักวิจัยได้กล่าวว่าการโจมตีลักษณะนี้สามารถทำให้ผู้ประสงค์ร้ายเข้าสู่ระบบได้ภายในเวลาไม่กี่ชั่วโมงหรือในบางกรณีอาจใช้เวลาไม่กี่นาทีก็สามารถเข้าสู่ระบบได้ อย่างไรก็ดีผู้ประสงค์ร้ายต้องมี Credential ของผู้ใช้ก่อนจึงจะสามารถทำการโจมตีได้

ทั้งนี้นักวิจัยได้ทำการแจ้งปัญหาเกี่ยวกับช่องโหว่ให้ทาง cPanel รับทราบแล้วและทางทีมงาน cPanel ได้ออกแพตซ์เพื่อแก้ไขช่องโหว่แล้วใน cPanel และ WHM เวอร์ชัน 11.92.0.2, 11.90.0.17 และ 11.86.0.32 ผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตซ์แพตซ์ cPanel และ WHM ให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

bleepingcomputer.

พบแคมเปญอีเมลฟิชชิ่งที่กำหนดเป้าหมายไปยังผู้ใช้ cPanel โดยการส่งอีเมลคำเเนะนำด้านความปลอดภัยปลอมเเจ้งเตือนให้ผู้ใช้ทำการอัปเดตเวอร์ชั่นเพื่อเเก้ไขช่องโหว่ในส่วนการจัดการ WebHost Manager (WHM) และ cPanel

อีเมลฟิชชิ่งที่ทำการปลอมเเปลงนั้นใช้หัวเรื่องอีเมลชื่อว่า "cPanel Urgent Update Request" โดยอีเมลคำเเนะนำปลอมนั้นมีข้อความระบุว่ามีการเผยแพร่เเพตซ์การอัปเดตเพื่อแก้ไขช่องโหว่แล้วและเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ใน cPanel และ WHM เวอร์ชัน 88.0.3+, 86.0.21+ และ 78.0.49+ ผู้ใช้ควรทำการอัปเดตการติดตั้งให้เป็นเวอร์ชั่นล่าสุด

จากการวิเคราะห์ของ BleepingComputer พบว่าผู้โจมตีได้จดโดเมน “cpanel7831.com” เพื่อใช้เป็นอีเมลในการปลอมเเปลงคำเเนะนำด้านความปลอดภัยจาก cPanel และใช้ Amazon Simple Email Service (SES) เพื่อส่งอีเมลฟิชชิ่ง หากผู้รับอีเมลฟิชชิ่งหลงเชื่อและทำการคลิกที่ “อัปเดตการติดตั้ง cPanel & WHM ของคุณ” ลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ที่ผู้โจมตีได้ทำการปลอมเเปลงเพื่อให้ผู้ใช้ล็อกอินเข้าสู่ระบบด้วยบัญชีของ cPanel และหลังจากผู้ใช้ทำการล็อกอินเข้าสู้ระบบด้วยบัญชีของ cPanel เว็บไซต์จะทำการ landing page ไปยังหน้า Google search ที่ใช้คำค้นหาด้วย cpanel

หากผู้ใช้หลงกรอกอีเมลและรหัสผ่าน ควรทำการเปลี่ยนรหัสผ่านทันที ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์ในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: bleepingcomputer.

บริษัท cPanel ซึ่งเป็นบริษัทซอฟต์แวร์สำหรับบริหารเว็บโฮสติ้ง ได้ส่ง e-mail แจ้งไปยังลูกค้าว่าเซิร์ฟเวอร์ของบริษัทโดนแฮ็ก ซึ่งยังไม่ทราบว่าส่งผลกระทบไปถึงเซิร์ฟเวอร์ของลูกค้าที่ติดตั้ง cPanel ด้วยหรือไม่ แต่เบื้องต้นทางบริษัทได้ขอให้ลูกค้าเปลี่ยนรหัสผ่านโดยด่วนเพื่อเป็นการป้องกัน
ตอนนี้ทางบริษัทยังไม่ให้รายละเอียดใดๆ ผ่านเว็บไซต์ของตัวเอง ดังนั้นในเบื้องต้นแนะนำให้ผู้ที่ใช้ cPanel ควรทำการเปลี่ยนรหัสผ่านเพื่อความปลอดภัยกันเอาไว้ก่อน

ที่มา : arstechnica