cPanel
ha publicado un aviso en el que reconocen haber sufrido una intrusión en su
sitio oficial que ha podido exponer información de una base de datos de
usuarios. Poco después de esta intrusión la compañía confirma hasta 20 vulnerabilidades en cPanel, que podrían explotarse por usuarios para manipular
datos, elevar privilegios, insertar scripts, inyección SQL, obtener información
sensible o realizar ataques de cross-site scripting.
CPanel es un conocido panel de
control para empresas de alojamiento web, que a través de una sencilla interfaz
web permite a usuarios de miles de compañías realizar de forma sencilla tareas
como crear subdominios, añadir cuentas de correo, instalar scripts, proteger
directorios, crear bases de datos. La administración de estas acciones puede
realizarse por los propios usuarios sin necesidad de la intervención del
personal técnico. CPanel está disponible para Linux y FreeBSD.
El pasado fin de semana cPanel
confirmó un ataque sobre una de sus bases de datos y aunque había detenido la
intrusión, anunciaba la posibilidad de que determinada información hubiera
quedado expuesta. Según la compañía la información comprometida estaba limitada
a nombres, información de contacto y el hash (con salt) de las contraseñas.
En cualquier caso confirmaba que
la información de las tarjetas de crédito se encuentra almacenada en un sistema
independiente diseñado para guardar las tarjetas de crédito y no se ve afectada
por este ataque. cPanel anuncia un cambio a un sistema de cifrado de
contraseñas más robusto y forzará a todos los usuarios a cambiar su contraseña.
Por otra parte, pocos días después
de este anuncio la compañía publica un aviso en el que se corrigen un total de 20
vulnerabilidades. aunque no está confirmada ninguna relación entre la intrusión
y estas vulnerabilidades.
Los problemas residen en ejecución
de comandos arbitrarios debido a que no se filtra adecuadamente el directorio
de trabajo actual ('.') de rutas cargadas desde la librería de módulos Perl, modificación
de archivos arbitrarios durante la modificación de cuentas mediante enlace simbólico,
lectura arbitraria de archivos a través de script bin/fmq y scripts/fixmailboxpath,
inyección SQL en bin/horde_update_usernames, ejecución de código arbitrario a
través de manipulación de archivos temporales o revelación de hashes de
contraseñas por los scripts bin/mkvhostspasswd y chcpass.
También se han corregido
problemas como que llamadas JSON-API permiten a cuentas cPanel y Webmail la
ejecución de código mientras se ejecutan con privilegios de cuentas de usuario
compartidas, lectura de archivos arbitrarios a través de bin/setup_global_spam_filter.pl
y scripts/quotacheck, sobreescritura de archivos arbitrarios a través de scripts/check_system_storable
y cambios arbitrarios de permisos de archivos (chown/chmod) durante el proceso
de conversión de bases de datos para Roundcube.
Más vulnerabilidades corregidas
podrían permitir la ejecución de código arbitrario a través de scripts/synccpaddonswithsqlhost,
cambios de permisos de archivos a través de scripts/secureit y cross-site
scriptings en WHM y en X3 y ejecución de código arbitrario sin necesidad de
autenticación a través de cpsrvd.
Todas estas vulnerabilidades se han
corregido en las versiones de cPanel:
11.54.0.4
11.52.2.4
11.50.4.3
11.48.5.2
Más información:
Important
Information for cPanel Store Users
cPanel TSR-2016-0001
Full Disclosure
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario