Falha de segurança encontrada na maioria das hospedagens

Uma grave vulnerabilidade que afeta a maioria dos usuários de hospedagem de sites e visitantes foi encontrada em vários provedores de hospedagem populares.

Falha de segurança cPanel

De acordo com o que foi encontrado por nossos especialistas em segurança, se um servidor abriga múltiplas contas de hospedagem compartilhada, qualquer uma dessas contas podem acessar registros de atividade em tempo real de qualquer conta do servidor. Isso basicamente significa que a atividade do seu site pode ser vista por qualquer pessoa no servidor.

Mas o que realmente surpreende nesse caso é que essa situação foi descoberta pelos provedores de hospedagem gigantes, como BlueHost, GoDaddy e HostGator e muitos outros.

E isso foi descoberto há pelo menos 6 anos.

Como isso funciona?

Essa vulnerabilidade dá acesso aos usuários para a página de status do Apache – uma página usada pelos times de monitoramento dos provedores de hospedagem para visualizar registros básicos de um determinado servidor. É uma função bem simples, mas que só deve ser acessada pelos administradores do servidor.

Ou melhor, deveria.

Por padrão, a página de status do Apache tem uma restrição de IP, o que significa que ela somente poderá ser acessada se a requisição for feita do próprio servidor.

Naturalmente, a restrição previne que qualquer pessoa fora consiga obter a entrada para o servidor.

No entanto, os engenheiros de segurança do cPanel não perceberam que alguém suspeito poderia fazer a requisição para essa URL de dentro do servidor.

Mesmo sem acesso root (acesso de administrador), qualquer pessoa é capaz de extrair a atividade em tempo real do servidor, ao usar um script PHP simples, que basicamente faz uma requisição para a página de status da WHM usando o endereço IP local (127.0.0.1).

Aqui está o arquivo PHP em questão:

<?php
$url = 'http://127.0.0.1/whm-server-status';
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL,$url);
$data = curl_exec($ch);
curl_close($ch);
echo $data;

*Você também pode usar $url - ‘http://[::1]/whm-server-status’ se o servidor utiliza IPv6.

Então, basicamente, se uma pessoa quer ver e coletar dados do seu site, tudo que ela precisa fazer é:

  1. Comprar uma conta de hospedagem;
  2. Executar esse arquivo PHP do diretório da conta;
  3. Criar uma tarefa cron e obter os dados daquele servidor de forma contínua.

Isso dá ao usuário o acesso para a página de status, que inclui:

  • Endereço IP pessoal de todos visitantes do site. Todos os visitantes do servidor poderiam ser identificados e ter seus dados coletados.
  • As requisições exatas enviadas pelos usuários. Links escondidos em todas as páginas poderiam ser facilmente encontradas.
  • O endereço IP de todas as contas e páginas. Isso permite que qualquer pessoa veja o endereço real e possa iniciar um ataque DDoS, inutilizando serviços como Cloudflare.
  • A habilidade de identificar as páginas fracas e tirar vantagem delas. Podendo acessar os registros de atividades do servidor em tempo real, você pode ver quanto tempo uma página específica leva para carregar. Com isso, você pode identificar quais páginas são fracas e depois inundá-las com uma grande quantidade de requisições (DDoS), que fará com que todo o site fique indisponível ou até mesmo todo o servidor.
Falha de segurança - Apache Falha de segurança - Apache

A página de status do Apache foi feita para ser observada somente pelos times de monitoramento. Mas você pode fazer isso com praticamente qualquer conta de hospedagem.

Esse problema não é novidade

Para ter uma ideia, esse problema em específico já ganhou certa atenção anteriormente. Em 2012, Daniel Cid do Sucuri, descobriu que vários sites tinham páginas de status públicas que poderiam ser acessadas por literalmente qualquer pessoa.

Isso era possível ao simplesmente inserir uma URL e adicionar /server-status no fim do endereço. Dessa forma, sites grandes como Metacafe, NBA, Ford, PHP.net (ironicamente), e muitos outros deixaram essa informação pública para qualquer visitante.

Desde então, no entanto, essa falha foi corrigida, e nós ainda não encontramos sites expostos a essa vulnerabilidade. O que nós descobrimos, é que existe uma outra forma de acessar a mesma página de erro – e obter informações de milhares de sites.

Falha de segurança - Provedores afetados

De quem é a culpa e como corrigir isso?

Imagine a situação quando você compra um roteador e ele tem tanto usuário quanto senha configurados como "admin". De quem é a culpa se ele for invadido? Bem, certamente o fabricante do roteador poderia usar credenciais de acesso mais fortes, mas ao mesmo tempo – os usuários deveriam dar mais atenção para a própria segurança e mudar os dados de login instantaneamente.

Ao mesmo tempo, enquanto o cPanel falhou em oferecer um recurso de segurança por padrão, ele não pode ser o único culpado por esse problema.

A própria página de status foi projetada e implementada pelo cPanel, no entanto, ele também deu as ferramentas para os administradores de sistemas dos provedores de hospedagem para configurar o aspecto de segurança dessa ferramenta. E como nós vimos, esse aspecto foi negligenciado pela maioria.

Então, como você evita essa vulnerabilidade. Bem, existem algumas coisas que o administrador de sistemas do seu servidor poderia fazer:

  • Mudar a localização da página de status do servidor. Assim, ninguém poderia fazer a requisição para a página sem saber onde ela está.
  • Mudar a porta padrão (80). Funcionaria de forma parecida como alterar a URL padrão, mas podendo trazer segurança adicional.
  • Criar uma autenticação HTTP na URL em particular que vai assegurar que a página de status do Apache ficará atrás de uma senha escolhida.
  • Adicionar uma condição ao firewall do servidor, assim, somente o usuário root (ou o grupo com acesso de administrador) poderia acessar a página de status.

Mas ainda há um porém: praticamente todo mês, o cPanel é atualizado, alterando a URL padrão e fazendo com que esse problema ocorra novamente. Existem formas de corrigir isso definitivamente, mas pode ser um pouco mais complicado.

Isso pode afetar os usuários seriamente

Então, para resumir – se você é um usuário da hospedagem compartilhada, seus dados podem estar acessíveis para qualquer pessoa no mesmo servidor que você.

E considerando que um único servidor pode hospedar centenas e até milhares de clientes, isso apresenta um sério risco. Basta um usuário mal intencionado no servidor para comprometer os dados do servidor. E uma vez que esse usuário tiver obtido os dados, um simples pedido para o suporte ao cliente poderá movê-lo para outro servidor, permitindo que ele continue coletando dados dos usuários.

Embora URLs e IPs expostos não pareçam muito perigosos, esses dados podem ser usados de forma muito criativa, e causar sérios dados para os proprietários e visitantes dos sites.

Má notícia para senhas não criptografadas

Por exemplo, o acesso público para todas as URLs é uma péssima notícia para pessoas que usam senhas não criptografadas em sua plataforma. Muitas delas ainda usam sistemas de segurança obsoletos e geram logins com endereços personalizados. Isso significa que quando você entra no seu site, você usa um endereço como o seguinte:

https://www.enderecodosite.com/login.php?username=SEUNOMEDEUSUARIO&password=SUASENHASEGURA

E aqui, não importa se o seu site usa HTTP ou HTTPS – a página de status enxerga ambos como texto puro.

Além disso, como a página de status mostra toda a atividade de URLs do seu site, as pessoas na página de status poderiam ver o usuário e senha que você utiliza. O mesmo é válido para descobrir URLs escondidas – deixando as URLs "secretas" não tão secretas.

Coleta de dados

Além de expor as URLs, essa vulnerabilidade também revela os endereços IP que interagem com os sites. Usando essa informação, pessoas modem monitorar a atividade de qualquer site hospedado no servidor e ver quem os acessa.

Conhecendo a lista de usuários e sites no provedor de hospedagem deixa a porta aberta para a coleta de dados dos usuários.

Para ter uma ideia, alguns provedores de hospedagem pagaram bem por uma lista dos clientes de seus concorrentes. Esse tipo de informação tende a ser secreta – mas com essa vulnerabilidade, ela se torna pública. Se você está hospedando seu site com um provedor inseguro, você poderia alvo de vários dos seus concorrentes.

Porém, nem toda informação pessoal seria usada somente para o inofensivo marketing. Algumas pessoas mal intencionadas poderiam usar essas informações para te chantagear ou até mesmo tentar aplicar golpes.

Por exemplo, usando um endereço de IP, qualquer site poderia ser alvo de um ataque DDoS, e exigir um resgate – os ataques não cessar enquanto você não pagar.

E se você pensa que serviços de CDN como Cloudflare poderão de salvar disso – infelizmente esse não é o caso.

A página de status do WHM mostra o endereço de IP real da página. Com acesso direto ao seu IP, pessoas podem ser capazes de usar DDoS para atacar o seu projeto e nenhum software seria capaz de ajudar (a menos que você mudasse o endereço IP completamente).

Quais provedores de hospedagem foram afetados?

Nossos especialistas de segurança testaram 11 provedores de hospedagem populares no mundo inteiro e aqui estão os resultados:

ProvedorPainel UsadoStatusAtualizado (data)
BluehostcPanelCorrigido05/03/2019
UOL HOSTPainel UOLNão Afetado05/03/2019
HostGatorcPanelCorrigido05/03/2019
GoDaddycPanelCorrigido05/03/2019
WebLinkPainel personalizadoNão Afetado05/03/2019
HostMídiacPanelCorrigido05/03/2019
LocawebPainel personalizadoNão Afetado05/03/2019
HostingerPainel personalizadoNão Afetado05/03/2019
KingHostPainel PersonalizadoNão Afetado05/03/2019
ISBrasilcPanelCorrigido05/03/2019
UmblerPainel personalizadoNão Afetado05/03/2019
ConfigrPainel personalizadoNão Afetado05/03/2019

Como você pode ver, cada um dos provedores de hospedagem que usam cPanel foram afetados por essa vulnerabilidade. Com essa tabela, é possível perceber que todos os provedores de hospedagem que utilizam cPanel compartilham do mesmo problema de segurança.

Uso hospedagem compartilhada, o que devo fazer?

Bem, se você está lendo isto, é possível que essa vulnerabilidade já sido corrigida. Antes de publicar este artigo, nós entramos em contato com os maiores provedores de hospedagem e informamos sobre o problema.

Agora, não há muito o que você possa fazer. O prejuízo (se houve algum) já foi feito. No entanto, você pode tentar entrar em contato com seu provedor de hospedagem ou pesquisar sobre essa falha de segurança em comunidades para encontrar mais informações.

Em todo caso, nós vamos acompanhar de perto os provedores de hospedagem que mencionamos aqui, trazendo informações atualizadas sobre mudanças de segurança necessárias em suas plataformas de hospedagem.

Melhor Hospedagem de Sites é um projeto com o objetivo de ajudar as pessoas na busca pelo lugar ideal para hospedar seus sites, trazendo informação e conhecimento sobre o universo de hospedagem de sites.
Deixe um comentário

Receba os artigos do blog por e-mail: