นักวิจัยด้านความปลอดภัยจาก Digital Defense ได้เปิดเผยช่องโหว่ของ cPanel และ WebHost Manager (WHM) ซอฟต์แวร์ชื่อดังสำหรับแอดมินที่ใช้จัดการการโฮสต์เว็บไซต์ด้วยหน้าตาที่ใช้งานง่าย
ช่องโหว่นี้มีรหัส CVE-2020-27641 เปิดโอกาสให้ผู้โจมตีสามารถ brute-force รหัส 2FA ได้เรื่อยๆ จนล็อกอินเข้าระบบ cPanel ได้ในที่สุด เพราะ cPanel ไม่มีการบล็อกผู้ใช้ทิ้งหากใส่รหัส 2FA ผิดติดกันบ่อยๆ โดยนักวิจัยระบุว่าปกติแล้วการ brute-force อาจใช้เวลาหลายชั่วโมง แต่จากการทดสอบในบางกรณีใช้เวลาไม่กี่นาทีก็ล็อกอินได้แล้ว
ทั้งนี้ แน่นอนว่าผู้โจมตีต้องมีรหัสผ่านของเหยื่อมาก่อน เช่นจากการทำ phishing หรือขโมยมาจากทางอื่น
cPanel และ WHM ในเวอร์ชั่น 58 รองรับการเปิด HTTPS ฟรีมาก่อนหน้านี้แต่ผ่านบริการของ Comodo ตอนนี้ทาง cPanel ก็ประกาศรองรับ Let's Encrypt แล้วด้วยการเพิ่มปลั๊กอินมาให้
ทาง cPanel ระบุว่าเหตุที่ไม่ได้รองรับ Let's Encrypt ในตัวนั้น เนื่องจากรอบการพัฒนาของ cPanel ไม่ตรงกับการพัฒนาของ Let's Encrypt ทีมงานจึงใช้ช่องทางการพัฒนาปลั๊กอินแยกออกมา ให้ผู้ใช้ติดตั้งเพิ่มเองได้
ข้อจำกัดของ Let's Encrypt อย่างหนึ่งคือการขอการรับรองโดเมนได้ครั้งละ 100 โดเมน เทียบกับของ Comodo ที่ได้ 200 โดเมน ดังนั้นผู้ที่เลือกใช้งานจึงควรระวังข้อจำกัดนี้
ที่มา - cPanel