- Door
- Arnout Veenman
- geplaatst op
- 3 augustus 2009 08:03 uur
Op de Defcon conferentie in Las Vegas is door Russ McRee van HoisticInfoSec.org en Mike Bailey van Skeptikal.org een cross-site request forgery (CRSF) lek in het populaire webhosting controle paneel cPanel onthult. Het lek maakt het voor de aanvaller mogelijk om cPanel volledig over te nemen. cPanel weigert het lek echter te dichten en noemt het een feature, meldt The Register.
Het lek in cPanel is te misbruiken door een nietsvermoedende gebruiker van cPanel controle paneel die is ingelogd naar een malafide website te lokken. Door middel van javascript op de malafide website worden dan commando’s aan het cPanel controle paneel gegeven uit naam van de gebruiker. Dat maakt het mogelijk dat wanneer de gebruiker als root is ingelogd, de aanvaller de server volledig kan overnemen.
Volgens de ontdekkers krijgen CRSF-lekken vaak veel te weinig aandacht en worden ze vaak niet eens gedicht. Zoals mogelijk ook in dit geval niet. Dat is zeer gevaarlijk. In dit geval kan een aanvaller door z’n huiswerk te doen met een beetje handigheid en geduld vrijwel elke server waarop cPanel is geïnstalleerd overnemen. Het enige dat de aanvaller hoeft te weten, wie er op cPanel inlogd en hem zodra hij is ingelogd naar de malafide website te lokken.
Vermoedelijk is het lek of de feature zoals cPanel het zelf noemt de JSON-API.