Giriş
Son dönemde LiteSpeed cPanel kullanıcı uç noktası eklentisindeki bir güvenlik açığının aktif olarak istismar edildiği tespit edildi. Bu durum, özellikle federal kuruluşların sunucularını hızla güvence altına alması gerektiğini vurgulamaktadır.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, CVE-2026-54420 kodu ile tanımlanmakta ve CVE-2026-48172 koduna bağlı olarak yüksek seviye bir tehdit oluşturuyor. Bu açık, FTP veya web shell erişimine sahip saldırganların, CloudLinux/CageFS üzerinde çalışan paylaşımlı sunucularda root erişimlerini artırmalarına olanak tanıyor.
Açık, tüm kullanıcı uç noktası eklenti versiyonlarını etkilemekte ve 2.4.8 öncesi sürümlerde bulunuyor. Sorunun temel kaynağı, ‘UNIX symlink following’ zafiyetidir.
Etkilenen Sistemler
LiteSpeed tarafından yapılan açıklamalara göre, bu güvenlik açığı öncelikle aşağıdaki sistemleri etkilemektedir:
- LiteSpeed cPanel kullanıcı uç noktası eklentisi (2.4.8 öncesi tüm sürümler)
- CloudLinux ve CageFS kullanan paylaşımlı sunucular
Güvenlik açığının aktif bir şekilde istismar edildiği ve erken Haziran’da tespit edildiği bildirilmektedir. LiteSpeed, bu durumu ele almak amacıyla acil güvenlik güncellemeleri sunmuş ve kullanıcıların en son sürüme geçmelerini önemle tavsiye etmiştir.
Çözüm ve Korunma
Kullanıcıların, sunucularının bu güvenlik açığına karşı savunmasız olup olmadığını kontrol etmek için aşağıdaki komutu kullanmaları önerilmektedir:
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/nullEğer bu komut çıktısında herhangi bir veri bulunuyorsa, sunucuda bu açığın istismar edilmiş olabileceği belirtilmektedir. Zararın büyüklüğünü belirlemek için sistem loglarının, tespit edilen IP’ler tarafından gerçekleştirilen işlemler açısından incelenmesi gerekir.
CISA, bu acil durumu takiben tanınmış istismar edilen güvenlik açıkları kataloguna (KEV) ekledi ve federal kuruluşların sistemlerini üç gün içinde güvence altına almalarını talep etti. Bu talep, hem BOD 26-04‘e hem de eski direktiflerin iptaline dayanmaktadır.
Sonuç
Okuyucuların, en kısa sürede sistem güncellemelerini yapmaları ve gerekirse ilgili portları kapatmaları kritik önem taşımaktadır. LiteSpeed ve federal güvenlik ajansları, bu tür zafiyetlerin dikkate alınması gereken önemli riskler barındırdığı konusunda uyarıda bulunuyor. Bununla ilgili gerekli önlemleri alarak, sistem güvenliğinizi sağlayabilirsiniz.
