yaşadığınız kayıplar umarım son olur, maalesef dün ve bugün ortaya çıkan güvenlik açığı yüzünden bizlerimde onlarca sanal sunucusu bu saldırıya mağruz kaldı. Bu durum yedekleme açısından firmanın sorumluluğunda güvenlik kısmı ise sizin sorumluluğunuzda lakin firmanın sizi uyarması ve güncelleme ile alakalı bilgilendirme yapmasıda gerekirdi.
saldırının mantığını aşağıya yazıyoruz. kullanıcı 2087 portuna dogrudan inject ile giriyor. kullanıcı adı şifre denemesi yapmadan direk bağlantı kuruyor. ve şifreyi değiştirip tüm sunucuda silinse dahi tekrar gelebileceği bir yapı kuruyor.
bunun ile alakalı ücretsiz bir güvenlik katmanı paylaşacağız. umarım en az kayıp ile bu saldırı atlatmışsınızıdr.

Saldırgan -> https://server:2087/<bir-endpoint>
Authorization: Basic <base64-içine-CRLF-enjekte-edilmiş>
Cookie: whostmgrsession=<manipule>
↓
cpsrvd (cPanel daemon)
↓ pre-auth aşamasında session dosyası yazılıyor
↓ Authorization header'dan gelen rn sanitize EDİLMİYOR
↓ saldırgan session dosyasına "user=root" satırı enjekte ediyor
↓ whostmgrsession cookie ile o session yükleniyor
Sonuç: ŞİFRESİZ ROOT ERİŞİM (auth bypass)