Panel de administración web y credenciales de acceso al descubierto

Muchos de los sitios de hosting web que existen disponen de herramientas que permiten facilitar las tareas en lo que respecta a la administración de los sitios web. Esto permite agilizar la forma en que trabajan los administradores, pero también puede acarrear ciertos problemas. Este es el caso de la herramienta de administración web conocida bajo el nombre cPanel (Acrónimo de control Panel).

cPanel es una herramienta ampliamente utilizada que dispone de muchas características como, por ejemplo, la gestión de correos, gestión del propio sitio web, programador de tareas, scripts preinstalados, entre otras.

Un usuario administrador que desea utilizar esta aplicación debe crear una cuenta en la cual ingresa información sensible, entre la que se encuentran la dirección del dominio, el nombre de usuario y la contraseña. Luego de haber completado todos los datos y creado la cuenta, cPanel responde con un mensaje exponiendo todos los datos de la cuenta que se acaba de crear. Como se detalla a continuación, veremos que el problema reside en esta característica y en cómo es accesible mediante un buscador debido a su sistema de caché e indexación.

Si se toma el caso particular de Google, el cual indexa una gran cantidad de datos disponibles en la red de manera muy eficiente, y a esto se le suma el descuido del administrador que no borra el archivo que contiene los datos expuestos por cPanel, es muy sencillo realizar una búsqueda que deje expuesta toda esta información. De esta forma, un usuario malintencionado, tendrá acceso a estos datos y podrá ingresar al panel de administración utilizando las credenciales de acceso del administrador. La siguiente imagen muestra un formulario de respuesta de cPanel:

Formulario de respuesta

A continuación puede visualizarse que realizando una búsqueda refinada en Google, se obtienen casi 750 sitios que no han borrado estos datos de acceso de sus servidores y, por lo tanto, las credenciales de acceso de los administradores quedan expuestas.

Búsqueda en Google

Debido a esta situación, los administradores deben tener mucho cuidado a la hora de crear su cuenta de acceso cuando se utiliza cPanel. Se debe borrar el formulario de respuesta para que éste no pueda ser indexado por Google o cualquier otro buscador. Este comportamiento por parte de los administradores debe extenderse para cualquier aplicación que publique información crítica en la red, ya que el propio motor de búsqueda no distingue que información es sensible y cuál no.

Cabe aclarar que en el caso que la información ya haya sido expuesta, el administrador debe borrar el archivo en cuestión y posteriormente modificar las credenciales de acceso o al menos la contraseña.

Ya se ha visto anteriormente problemas similares a éste, donde información sensible queda a disposición de los buscadores. De esta forma, se debe ser responsable de la información que permanece pública, ya que por más que estos datos no sean accesibles a través de un enlace, no significa que no lo serán a través de un buscador.

Fernando Catoira
Analista de Seguridad

Autor , ESET

  • Julio

    Dónde está el archivo? cómo se borra?

    • Fernando Catoira

      Estimado Julio:
      El archivo puede tener diferentes nombres. Es recomendable que recorras el directorio de tu servidor y veas si encontrás el archivo que contiene esta información.
      Saludos!

      Fernando.

  • Por eso es impresindible que toda sesion con cPanel se haga con https.
    No es aconsejable entrar al cPanel por el tradicional puerto 2082 exponiendonos a ese riesgo.
    sino usar siempre el 2083 con https aunque el certificado de la firma no este formalmente registrado.

    • Fernando Catoira

      Estimado Emiliano:
      Es bueno que menciones lo de https ya que es una de las prácticas que nosotros sugerimos para que las conexiones se realicen de forma cifrada.
      Saludos,

      Fernando.

  • Pingback: dwqnjdflsjfklsafjaslkjfld()

Síguenos