cPanel sotto attacco: una falla critica consente l’accesso senza password

Una vulnerabilità in cPanel consente il bypass dell’autenticazione. Permette accessi non autorizzati ai pannelli di controllo dell'hosting. Il problema riguarda quasi tutte le versioni supportate e può portare al controllo completo dei siti e dei database e delle email. È già disponibile una patch, ma deve essere applicata manualmente. Il rischio è elevato: gli attaccanti possono distribuire malware, rubare dati e compromettere interi server tramite WHM.

È stata scoperta una vulnerabilità critica in cPanel e WebHost Manager (WHM) che consente di aggirare l’autenticazione e accedere al pannello di controllo senza credenziali. Quasi tutte le versioni supportate sono a rischio. Gli sviluppatori hanno già rilasciato una patch di emergenza, ma dovrà essere installata manualmente.

cPanel e WHM sono tra i pannelli di controllo per hosting Linux più diffusi. Il primo gestisce siti web, database e posta elettronica, mentre il secondo gestisce l’intero server. Sono ampiamente utilizzati dai provider di hosting.

I dettagli tecnici della vulnerabilità non sono ancora stati resi noti, ma indizi indiretti suggeriscono che il problema sia effettivamente serio. Ad esempio, il provider di hosting Namecheap ha temporaneamente bloccato l’accesso alle porte 2083 e 2087 (utilizzate da cPanel e WHM) per proteggere i propri clienti in attesa del rilascio di una patch.

L’azienda ha spiegato che si tratta di una vulnerabilità critica e di un exploit relativo al meccanismo di autenticazione, che consente l’accesso non autorizzato al pannello di controllo. Tuttavia, alla vulnerabilità non è ancora stato assegnato un identificativo CVE né è stata resa pubblica.

Poche ore dopo che Namecheap ha emesso l’avviso, gli sviluppatori di cPanel hanno pubblicato un proprio bollettino di sicurezza, affermando di aver già risolto il problema nelle versioni:

• 110.0.97;
• 118.0.63;
• 126.0.54;
• 132.0.29;
• 134.0.20;
• 136.0.5.

È importante notare che per installare la patch, gli amministratori dovranno eseguire manualmente il comando `/scripts/upcp –force`. Questo comando forza un aggiornamento di cPanel, anche se il sistema ritiene che la versione più recente sia già installata.

Tuttavia, se il server esegue una build non supportata, gli aggiornamenti non saranno disponibili. In questo caso, il produttore consiglia di aggiornare alla versione più recente il prima possibile.

Ottenere l’accesso a cPanel significa di fatto avere il controllo completo dell’account di hosting: siti web, database ed email sono nelle mani degli hacker. Pertanto, dopo aver sfruttato la vulnerabilità, gli aggressori possono:

• distribuire web shell o backdoor;
• rubare file e configurazioni;
• impegnarsi in attività di phishing o nell’invio di spam;
• intercettare le password.

Si osserva che la situazione è persino peggiore con WHM, poiché garantisce il controllo del server e di tutti i siti web ospitati su di esso. Un utente malintenzionato può creare ed eliminare account, ottenere un punto d’appoggio nel sistema e utilizzare la macchina come proxy per il traffico, diffondere malware o partecipare a una botnet.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research