В cPanel и WebHost Manager (WHM) обнаружили критическую уязвимость, позволяющую обойти аутентификацию и войти в панель управления без учетных данных. В зоне риска находятся почти все поддерживаемые версии. Разработчики уже выпустили экстренный патч, но устанавливать его придется вручную.

cPanel и WHM — одни из самых популярных панелей управления хостингом на Linux. Первая отвечает за сайты, базы и почту, вторая — за сервер целиком. Их массово используют хостинг-провайдеры.

Технические детали уязвимости пока не раскрываются, однако, судя по косвенным признакам, проблема по-настоящему серьезная. Например, хостинг-провайдер Namecheap временно закрыл доступ к портам 2083 и 2087 (они используются cPanel и WHM), чтобы защитить своих клиентов до выхода патча.

В компании объяснили, что речь идет о критической уязвимости и эксплоите, связанном с механизмом аутентификации, который позволяет получить несанкционированный доступ к панели управления. При этом уязвимость пока не получила ни идентификатора CVE, ни публичного трекинга.

Спустя несколько часов после выпущенного Namecheap предупреждения, разработчики cPanel опубликовали собственный бюллетень безопасности, в котором сообщили, что уже устранили проблему в версиях:

• 110.0.97;


• 118.0.63;


• 126.0.54;


• 132.0.29;


• 134.0.20;


• 136.0.5.

Подчеркивается, что для установки патча администраторам придется вручную запустить /scripts/upcp --force. Эта команда принудительно обновляет cPanel, даже если система считает, что уже установлена последняя версия. При этом если сервер работает на неподдерживаемом билде — обновлений не будет. В таком случае производитель рекомендует как можно скорее переходить на актуальную ветку.

Получение доступа к cPanel фактически означает полный захват контроля над аккаунтом хостинга: сайты, базы данных, почта оказываются в руках хакеров. Таким образом, после эксплуатации бага злоумышленники могут:

• разворачивать веб-шеллы или бэкдоры;


• похищать файлы и конфигурации;


• заниматься фишингом или рассылать спам;


• перехватывать пароли.

Отмечается, что в случае WHM ситуация даже хуже, так как он предоставляет контроль над сервером и всем размещенным на нем сайтам. Атакующий получает возможность создавать и удалять аккаунты, закрепляться в системе и использовать машину для проксирования трафика, доставки малвари или участия в ботнете.