Vulnerabilidade cPanel

[Vittor]

Pessoal, o cPanel aparentemente tem uma falha grave em relação a segurança.

Exite um site (grupo de 10 mil usuários) chamado Anonymous Fox cujo o site é httpx://anonymousfox.info

Eles são "especializados" em invadir servidores cPanel, por meios de instalações WordPress, Joomla, OpenCart e etc..

O que é curioso, é que eles invadem somente servidores cPanel, estranho não é?

Você pode pensar, há mais invadem poucas contas não representam grandes riscos.

Pois bem, quase todas as contas de um de nossos servidores cPanel foram invadidas por esse grupo Anonymous Fox, tornando todos inoperantes. (Sorte que fazemos backups quase que todos os dias)

Eles injetam páginas PHP no WordPress (exemplo do WordPress) e essas páginas ao serem acessadas através de qualquer navegador, dá acesso a tudo na conta do usuário! Eu sei disso pois detectei tais páginas e ao acessar carregava um painel com todas as funções do cPanel!

 

Aí eu fico pensando, o cPanel com todos os aumentos e updates que vemos atualmente, não corrigem tal vulnerabilidade.

 

Posso estar enganado (que seja uma vulnerabilidade do cPanel) mas é estranho que isso ocorra apenas em ambientes com o cPanel instalado.

 

 

Editado Fevereiro 11, 2022 por Vittor
Correções

[Victor Sousa PI]

Eu conheço uma falha cPanel que dar acesso total aos arquivos do servidor, mas para isso preciso executar um script PHP dentro do servidor, então no caso acredito eu (não estou dizendo com certeza) eles aproveitam alguma vulnerabilidade do WordPress ou Joomla, ou qualquer CMS para executar um script parecido, o CloudLinux não isola 100% os usuários, para isolar 100% os usuários ele teria que transformar contas "containers" desacopladas do sistema de arquivos do servidor principal, creio eu que estão demorando para incrementar isso.

[DELTA SERVERS]

Infelizmente nem todos atualizam seus WordPress, esse é o fato. Já vi caso do cPGuard informar que tem WordPress na versão 3 ainda. Hoje ouve um caso com o Elementor, o mais atualizado. Uma carga anormal, ao analisar, foi identificado tentativas de ataques com destino o Elementor.

[Fabio S Araujo]

Cpanel tá uma peneira, tenho domínio que não tem nada de informações, o  cliente criou o domínio apenas para outras questões e redirecionamento, essa semana injetaram vários arquivos HTML para pishing.

O que fiz para mitigar foi comprar o Imunify e rodar scans diarios, alem de usar o Wordpress tollkit para atualizar plugins e patches de segurança nas instalações dos clientes, isso ajudou a reduzir, mas  sempre tem sites infectados

[Victor Sousa PI]

Kkkkkkkk se não tiver vulnerabilidade como vão vender plugins extras, tem que ter vulnerabilidade.

[Vittor]

Pois é, estamos pensando seriamente em mudar de painel.

 

[barreto]

Isso já aconteceu conosco há muito tempo atrás, antes de usar CloudLinux + cPGuard. Você utiliza qual proteção no servidor que ocorreu isso? Utiliza cloudlinux tbm?

Pergunto isso pq o CloudLinux gera um nível maior de proteção e deixa invisível uma conta da outra usando o CageFS.

[LucianoZ]

11 horas atrás, Vittor disse:

Pessoal, o cPanel aparentemente tem uma falha grave em relação a segurança.

Exite um site (grupo de 10 mil usuários) chamado Anonymous Fox cujo o site é httpx://anonymousfox.info

Eles são "especializados" em invadir servidores cPanel, por meios de instalações WordPress, Joomla, OpenCart e etc..

O que é curioso, é que eles invadem somente servidores cPanel, estranho não é?

Você pode pensar, há mais invadem poucas contas não representam grandes riscos.

Pois bem, quase todas as contas de um de nossos servidores cPanel foram invadidas por esse grupo Anonymous Fox, tornando todos inoperantes. (Sorte que fazemos backups quase que todos os dias)

Eles injetam páginas PHP no WordPress (exemplo do WordPress) e essas páginas ao serem acessadas através de qualquer navegador, dá acesso a tudo na conta do usuário! Eu sei disso pois detectei tais páginas e ao acessar carregava um painel com todas as funções do cPanel!

 

Aí eu fico pensando, o cPanel com todos os aumentos e updates que vemos atualmente, não corrigem tal vulnerabilidade.

 

Posso estar enganado (que seja uma vulnerabilidade do cPanel) mas é estranho que isso ocorra apenas em ambientes com o cPanel instalado.

 

 

Uma pergunta, você utilizava alguma WAF e scanner em tempo real de vírus?

[brunoalves]

Provavelmente sao especializados em cpanel por que a maioria dos sites usarem este painel... nao quer dizer que é menos seguro.

Nao adianta especializar em algo que nao é muito usado, como directadmin, plesk por exemplo.

Editado Fevereiro 11, 2022 por brunoalves

[tvoltolini]

Anonymous Fox tem usa um esquema "simples" pra invadir contas Cpanel SE você tiver o reset de senha habilitado no servidor.

O Cpanel guarda o email de contato da conta dentro do ambiente do usuário, num arquivo de texto. Eles encontram alguma vulnerabilidade no site que dá acesso aos arquivos upando um shell qualquer no wordpress ou mesmo roubando a senha de admin do wordpress e upando o arquivo pra dentro.

Feito isso eles alteram o email de contato da conta e pedem o reset de senha nesse email. A partir daí eles tem acesso ao cpanel da conta. E não é apenas invasão de site que eles fazem, é bem comum encontrar contas de email com o termo "fox" no nome nessas contas comprometidas.

Ao menos era assim que eles faziam há um tempo atrás, se isso está mais elaborado hoje, não sei dizer.

Editado Fevereiro 11, 2022 por tvoltolini