Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

cPanel weigert lek te dichten

  • Door
  • Arnout Veenman
  • geplaatst op
  • 3 augustus 2009 08:03 uur

cPanelOp de Defcon conferentie in Las Vegas is door Russ McRee van HoisticInfoSec.org en Mike Bailey van Skeptikal.org een cross-site request forgery (CRSF) lek in het populaire webhosting controle paneel cPanel onthult. Het lek maakt het voor de aanvaller mogelijk om cPanel volledig over te nemen. cPanel weigert het lek echter te dichten en noemt het een feature, meldt The Register.

Het lek in cPanel is te misbruiken door een nietsvermoedende gebruiker van cPanel controle paneel die is ingelogd naar een malafide website te lokken. Door middel van javascript op de malafide website worden dan commando’s aan het cPanel controle paneel gegeven uit naam van de gebruiker. Dat maakt het mogelijk dat wanneer de gebruiker als root is ingelogd, de aanvaller de server volledig kan overnemen.

Volgens de ontdekkers krijgen CRSF-lekken vaak veel te weinig aandacht en worden ze vaak niet eens gedicht. Zoals mogelijk ook in dit geval niet. Dat is zeer gevaarlijk. In dit geval kan een aanvaller door z’n huiswerk te doen met een beetje handigheid en geduld vrijwel elke server waarop cPanel is geïnstalleerd overnemen. Het enige dat de aanvaller hoeft te weten, wie er op cPanel inlogd en hem zodra hij is ingelogd naar de malafide website te lokken.

Vermoedelijk is het lek of de feature zoals cPanel het zelf noemt de JSON-API.

patrick, 3 augustus 2009 9:14 pm

cPanel lijkt toch wat geschrokken en hebben op hun forum verteld dat ze vanmiddag ('s avonds onze tijd) met een reactie zouden komen. http://forums.cpanel.net/f5/crsf-leak-126561.html#post550689

Freeaqingme, 4 augustus 2009 4:17 am

En inmiddels is een beslissing gevallen ( http://www.cpanel.net/2009/08/cpanel-security-update-csrf-cross-site-request-forgery.html ):

" In an upcoming update to cPanel, new technology will be provided to mitigate CSRF attacks against cPanel’s products. "

En tegelijkertijd:
" Do not remain logged into any web applications or interfaces while browsing untrusted sites. Always completely log out of browser sessions for sensitive sites when activities have been completed.
Avoid opening SPAM, Websites, or clicking on links that you do not
trust especially URL shortening services found on many social media
sites.
Update your current passwords within cPanel on a regular basis and
maintain strong password discipline."

patrick, 4 augustus 2009 9:48 am

Dat laatste is natuurlijk een open deur die ALTIJD gevolgd zou moeten worden. Zolang de update nog niet is uitgerold is het natuurlijk extra belangrijk.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.