L’alerte n’a été que de courte durée, mais elle était de nature à donner quelques sueurs froides aux hébergeurs qui exploitent les panneaux de contrôle cPanel et WHM (Web Host Manager). Mardi 28 avril vers 22 heures (heure de Paris), l’éditeur de cPanel a publié un bulletin de sécurité relatif à un problème de sécurité affectant toutes les versions courantes du logiciel, et concernant différents chemins d’authentification.
Affirmant travailler sur un correctif en urgence, il a indiqué : « En attendant, bloquer l’accès aux ports TCP 2083/2087 via un pare-feu empêchera tout accès non autorisé, mais restreindra également tout autre accès au panneau de contrôle. Il s’agit actuellement de la meilleure solution pour sécuriser vos serveurs jusqu’à la disponibilité du correctif ».
Plusieurs hébergeurs exploitant cPanel ont réagi dans la foulée en suspendant l’accès au logiciel.
« Nous avons proactivement bloqué l’accès à cPanel et WHM sur l’ensemble de notre parc d’hébergement par mesure préventive. C’est la mesure d’atténuation que cPanel recommande elle-même, et c’est actuellement la façon la plus efficace de protéger chaque compte sur chaque serveur WHC jusqu’à la livraison d’un correctif permanent », a par exemple indiqué le canadien WHC.
Même son de cloche chez les Français d’o2switch, sur X : « Malheureusement, l’accès à vos interfaces cPanel est donc impossible tant que l’incident ne sera pas terminé. Cela concerne cPanel au sens large : l’interface technique, les webmails, les webdisks. Dès mise à disposition d’un patch d’urgence par l’éditeur, nous déploierons sur l’intégralité de l’infrastructure ».
Le correctif a été livré environ trois heures après la publication de la première alerte, et largement déployé dans la foulée. « Si vous exploitez un serveur cPanel autogéré ou si vous n’autorisez pas WHC à accéder directement à vos systèmes, vous devez mettre à jour cPanel vous-même dès que possible, ou contacter le support », précise l’hébergeur canadien.
Pour exécuter le correctif, lancez la commande suivante depuis la ligne de commande /scripts/upcp --force.
Commentaires (0)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousSignaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?