Vulnerabilidad Masiva Encontrada en Mayoría de Proveedores de Hosting

vulnerabilidad cpanel

Una vulnerabilidad crucial, que afecta a la mayoría de los usuarios de servicios de web hosting y también a visitantes de sitios web, se ha encontrado en muchos proveedores de hosting populares.

De acuerdo con los hallazgos de los expertos en seguridad de Hosting.review, si un servidor alberga varias cuentas de hosting compartido, cualquiera de esas cuentas puede acceder a los registros de actividad en tiempo real para cada cuenta en el servidor. Básicamente, esto significa que cualquier persona en el servidor puede ver los datos de actividad relacionados a tu sitio web.

La parte más sorprendente es que el problema se descubrió con gigantes de los servicios de web hosting como BlueHost, SiteGround, GoDaddy y muchos más.

Ah, sí, y este problema tiene al menos 6 años ...

¿Cómo funciona?

Esta vulnerabilidad les da a los usuarios acceso a una página de estado del servidor Apache, una página que es utilizada por los equipos de monitoreo de las compañías de hosting para ver los registros básicos de un servidor específico. Es una función bastante simple, a la que solo pueden acceder los administradores del servidor.

¿Será?

De forma predeterminada, la página de estado de Apache tiene una restricción de IP, lo que significa que solo se puede acceder si la solicitud se realizó desde el mismo servidor.

Naturalmente, la restricción impide que cualquier persona externa acceda al servidor.

Sin embargo, los ingenieros de seguridad de cPanel no se dieron cuenta de que alguien no confiable podría solicitar esta URL desde dentro del servidor.

Incluso sin acceso root (administrador), cualquier persona puede extraer el registro de actividad en tiempo real del servidor mediante un simple script PHP que solicita la página de estado de WHM mediante la dirección IP local 127.0.0.1 (localhost).

Éste es el archivo PHP en cuestión:

<?php
$url = 'http://127.0.0.1/whm-server-status';
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$url);
$data = curl_exec($ch);
curl_close($ch);
echo $data;
*También puedes usar “$url - ‘http://[::1]/whm-server-status’;” si está basado en IPv6.

Entonces, esencialmente, si una persona desea ver y recopilar datos de tu sitio web de manera indefinida, todo lo que necesita hacer es:

  1. Comprar una cuenta de hosting;
  2. Ejecutar este archivo PHP desde el directorio de la cuenta;
  3. Crear un cronjob y reunir continuamente datos de ese servidor en particular para siempre.

Esto le da al usuario acceso a la página de estado, que incluye:

  • Las IP personales de todos los visitantes del sitio. Todos los visitantes del servidor pudieron ser identificados y rastreados.
  • Las solicitudes exactas enviadas por los usuarios. Los enlaces ocultos de todas las páginas se pueden encontrar y recopilar fácilmente.
  • Las direcciones IP de las páginas. Esto permite a todos ver las direcciones reales e iniciar ataques de denegación de servicio (DDoS), lo que hace que servicios como CloudFlare sean inútiles.
  • La capacidad de identificar páginas débiles y aprovecharlas. Ya que tienes acceso a los registros de actividad en tiempo real del servidor, puedes ver cuánto tiempo lleva cargar una página en particular. De esta manera, puedes determinar qué páginas son particularmente débiles y luego enviarles solicitudes abrumadoras de spam (DDoS), que en última instancia bloqueará todo el sitio web o incluso todo el servidor.
vulnerabilidad cpanel pagina estado apache vulnerabilidad cpanel pagina de estado apache 2

La página de estado del servidor de Apache está destinada solo a los equipos de monitoreo. Pero puedes hacer esto en casi cualquier cuenta de hosting.

Este tema no es nada nuevo

De hecho, este problema muy específico ya ha estado apareciendo periódicamente hace un tiempo. En 2012, Daniel Cid de Sucuri descubrió que muchos sitios web tienen páginas de estado público a las que cualquiera, literalmente, puede acceder.

Fue posible simplemente ingresando una URL y agregando / server-status al final. De esta manera, sitios web como Metacafe, NBA, Ford, PHP.net (irónicamente) y muchos más terminaron mostrando esta información públicamente.

Sin embargo, desde entonces, se ha corregido y aún no hemos encontrado sitios web expuestos a este error. Lo que hemos descubierto es que hay otra forma de acceder a la misma página de estado y obtener un montón de información en miles de sitios web.

vulnerabilidad-cpanel-03

¿Quién tiene la culpa y cómo lo soluciono?

Imagina que compras un router y viene con un nombre de usuario y una contraseña por defecto configurados en “admin”. ¿Quién tendría la culpa si sufre un hackeo? Bueno, el fabricante podría usar credenciales más seguras pero al mismo tiempo los usuarios deberían prestar mayor atención a su seguridad y cambiarlos al instante.

Al mismo tiempo, si bien cPanel no proporcionó una funcionalidad que sea por defecto segura, no se le puede culpar únicamente a ellos por esta vulnerabilidad.

La página de estado en sí fue diseñada e implementada por cPanel, sin embargo, también proporcionó herramientas a los administradores de sistemas de los proveedores de hosting para configurar el aspecto de seguridad de esta herramienta. Evidentemente, fue pasado por alto por la mayoría de ellos.

Entonces, ¿cómo evitar esta vulnerabilidad? Bueno, hay algunas cosas que tu administrador de servidor podría hacer:

  1. Cambiar la ubicación del "estado del servidor" a una nueva. Nadie podrá solicitar la página de estado si nadie sabe dónde se encuentra.
  2. Cambiar el puerto predeterminado (80). Actúa de manera similar a cambiar la URL predeterminada, pero podría brindar cierta seguridad adicional.
  3. Crear una autenticación HTTP en esa URL en particular que en última instancia asegurará la página de estado de Apache detrás de una contraseña de su propia elección.
  4. Agregue una condición al firewall del servidor, de modo que solo un root (o un grupo de administradores en particular) pueda acceder a la página de estado.

Pero aquí está el problema: las actualizaciones periódicas mensuales de cPanel hacen que todas las modificaciones se deshagan y haya que hacerlo todo nuevamente. Hay algunas cosas que puedes hacer para solucionar esto indefinidamente, pero es un poco engorroso.

Esto puede afectar seriamente a los usuarios

Por lo tanto, en pocas palabras, si eres un usuario de hosting compartido, tus datos pueden ser accesibles para todos en el mismo servidor en el que tu estas.

Y considerando que un solo servidor podría albergar hasta unos pocos miles de clientes, es un riesgo grave. Un usuario malintencionado es todo lo que necesita para que tus datos y su comportamiento sean recolectados. Y una vez que hayan terminado de hacer esto con un servidor, bueno, una simple solicitud de atención al cliente los trasladará a otro servidor diferente, donde podrán continuar recopilando datos de usuarios.

Si bien las URL y las IP filtradas al público pueden no parecer tan peligrosos, estos datos se pueden usar de manera muy creativa para causar un daño grave a los propietarios de sitios web y visitantes.

Malas noticias para contraseñas no cifradas

Por ejemplo, el acceso público a todas las URL es una mala noticia para las personas que utilizan plataformas en línea no cifradas. Muchos de ellos aún utilizan sistemas de seguridad obsoletos y generan inicios de sesión como URL personalizadas. Esto significa que cuando inicias sesión en el sitio web, información sensible puede ser transmitida via URL como:

https://www.sitioweb.com/login.php?username=TUUSUARIO&password=TUCLAVESEGURA

Y no importa si tu sitio web utiliza HTTP o HTTPS: la página de estado ve a ambos como texto plano.

No hace falta decir que, dado que la página de estado muestra toda la actividad de la URL en su sitio web, los usuarios de la página de estado verán el nombre de usuario y la contraseña que se ingresó. El mismo seguimiento también puede usarse para descubrir URL ocultas, por lo que las páginas secretas ya no serán tan secretas.

Recolección de datos

Además de las URL, esta vulnerabilidad también revela las direcciones IP que interactúan con los sitios web. Y usando esa información, las personas podrían monitorear la actividad de cualquier sitio web alojado en el servidor y ver quién accede a ellos.

Conocer la lista de sitios web y usuarios en el proveedor de alojamiento abre las puertas de par en par para hacer data farming (cultivo de datos).

Algunos proveedores de hosting pagarían una buena cantidad de dinero por una lista de los clientes de sus competidores. Dicha información tiende a ser secreta, pero con esta vulnerabilidad es muy pública. Si estás alojando tu sitio web con un proveedor inseguro, podrías ser el objetivo de varios de sus competidores.

Pero no toda la información personal filtrada puede usarse para un marketing relativamente inofensivo. Algunas personas malintencionadas pueden incluso intentar chantajearte con los mismos datos que recopilaron.

Por ejemplo, al usar una dirección IP, cualquier sitio web podría ser objeto de una ataque DDoS y pedir un rescate a cambio de una suculenta suma de dinero.

Y si crees que los servicios como CloudFlare te salvarán de eso, bueno, no.

La página de estado del servidor WHM muestra la dirección IP real de la página. Con acceso directo a tu dirección IP, las personas pueden ser capaces de hacerte un ataque directo de DDoS y ningún software te ayudará (a menos que cambies tu dirección IP por completo).

¿Qué proveedores de hosting se ven afectados por esto?

Nuestros expertos en seguridad realizaron las pruebas en 11 proveedores populares de web hosting compartido y aquí están los resultados:

ProveedorTipo de Panel UsadoEstado
BluehostcPanelSolucionado
HostGatorcPanelSolucionado
GoDaddycPanelSolucionado
A2 HostingcPanelSolucionado
iPagevDeckNo Afectado
SiteGroundcPanelSolucionado
HostingerPanel PersonalizadoNo Afectado
InMotion HostingcPanelSolucionado
FastCometcPanelAfectado
ResellerClubcPanelSolucionado
Hosting24cPanelSolucionado

Como puedes ver, cada host que usa cPanel se vio afectado por esta vulnerabilidad. Solo desde esta tabla, es fácil suponer que todos los hosts basados en cPanel comparten este problema de seguridad.

Soy un usuario de hosting compartido. ¿Qué debo hacer?

Bueno, si estás leyendo esto, es probable que esta vulnerabilidad esté siendo atendida actualmente. Antes de publicar el artículo, contactamos a todos los proveedores de hosting principales y les informamos sobre este problema.

En este punto, no hay mucho que puedas hacer. El daño (si existe) ya se ha hecho. Sin embargo, puedes intentar ponerte en contacto con tu proveedor de hosting o investigar este problema de seguridad en las comunidades de tecnología para obtener más información

Estaré atento a los proveedores de hosting mencionados aquí, y te mantendré informado sobre si realizaron los cambios de seguridad necesarios en su plataforma de hosting.

Administrador de contenidos en mejorhostingweb.es desde el comienzo del sitio. Amante de la tecnología y redactor de los artículos del blog. Con muchos años de experiencia en el mundo de las TI. Entusiasta de internet, los videojuegos y las nuevas tecnologías.

Dejar un Comentario

  1. Cabuches imagen Cabuches
    9 de marzo de 2019
    Responder

    Muy buen post, gracias por compartir esta información que es muy valiosa, actualmente doy servicio de hosting, pero ya hice el test y no he sido afectado 👍🏿

Recibe nuevas publicaciones por email: