Giriş
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kullanıcı tarafında LiteSpeed cPanel eklentisindeki kritik bir güvenlik açığı nedeniyle federal ajanslara sunucularını güvence altına almak için dört gün verdi. Takibi yapılan CVE-2026-48172 kodlu bu açık, aktif saldırılarla istismar edilmektedir.
Saldırı Nasıl Çalışıyor?
Bu güvenlik açığı, Redis’in etkinleştirilmesi/devre dışı bırakılması ile ilgili hatalı bir işlenmesinden kaynaklanıyor ve lsws.redisAble fonksiyonunda tespit edildi. Yanlış yetki ataması, saldırganların hiç bir yetkiye sahip olmasalar bile kök yetkileri ile rastgele komut dosyaları çalıştırmalarına olanak tanıyor.
Etkilenen Sistemler
LiteSpeed, v2.3 ile v2.4.4 arasındaki tüm kullanıcı uç eklenti versiyonlarının bu açığa karşı risk altında olduğunu belirtmiştir. Güvenlik açığının tespiti için kullanıcıların sunucularını kontrol etmeleri gerekmektedir. Aşağıdaki komut ile bu kontrolün yapılması önerilmektedir:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/nullEğer bu komut bir çıktı verirse, listelenen IP adreslerini incelemek ve geçersiz olduklarını tespit edersek engellemek önemlidir. Ayrıca, tespit edilen IP’lerin gerçekleştirdiği eylemler için sistem günlüklerini kontrol etmek önerilmektedir.
Çözüm ve Korunma
LiteSpeed, bu açığı gidermek için acil güvenlik güncellemeleri yayımlamıştır ve kullanıcıların cPanel kullanıcı ucu eklentisini en son sürüme güncellemelerini tavsiye etmektedir. CISA, bu güvenlik açığının yalnızca ABD federal ajansları için geçerli olmasına rağmen, özel sektör de dahil olmak üzere tüm savunucuların CVE-2026-48172 yamalarını önceliklendirmesini ve sistemlerini hızla güvence altına almasını talep etmektedir.
CISA, bu tür açıklıkların kötü niyetli siber aktörler için sık sık bir saldırı vektörü olabileceğine ve federal işletmelere önemli riskler oluşturduğuna dikkat çekmiştir. Satıcı talimatlarına uygun olarak azaltmalar uygulamak, bulut hizmetleri için geçerli BOD 22-01 kılavuzunu takip etmek veya bazı azaltmalar mevcut değilse ürünün kullanımını sonlandırmak önemlidir.
Sonuç
Kullanıcıların, sistemlerini güvence altına almak için gerekli adımları derhal atması gerekmektedir. Bunun için şunları yapmalısınız:
- cPanel kullanıcı uç eklentinizi en son sürüme güncelleyin.
- Güvenlik açığına karşı sunucunuzu kontrol ederek, tanımlanan IP adreslerini değerlendirip gerekirse engelleyin.
- Sistem günlüklerini inceleyerek herhangi bir izinsiz işlem olup olmadığını kontrol edin.
Bu adımları uygulamak, sisteminizin güvenliğini artıracak ve olası saldırılara karşı koruma sağlayacaktır.
