Pusė milijono serverių administratorių visame pasaulyje penktadienio rytą pabudo su ta pačia žinute: jų valdymo skydelyje kažkas šeimininkauja su root teisėmis. Ir tai nėra perkeltine prasme.

LiteSpeed patvirtino, kad kritinė pažeidžiamumas jų cPanel vartotojo galinio įskiepyje (User-End Plugin) yra aktyviai išnaudojamas laukinėje aplinkoje. Spraga, registruota kaip CVE-2026-48172, gavo aukščiausią įmanomą CVSS balą — 10.0. Ji veikia visose įskiepio versijose nuo 2.3 iki 2.4.4.

Paprastai tariant: bet kuris cPanel vartotojas, įskaitant piratą, nusipirkusį hostingą už kelis dolerius, gali per funkciją `lsws.redisAble` paleisti savavališkus scenarijus su administratoriaus (root) teisėmis. Vienas kompromituotas hostingo klientas turi potencialą perimti visą fizinį serverį — su visomis jame esančiomis svetainėmis, duomenų bazėmis ir klientų duomenimis.

// reklamaČia gali būti jūsų reklamaSusisiekite →

Pažeidžiamumą atrado ir apie jį pranešė saugumo tyrėjas Davidas Strydomas. LiteSpeed pataisą išleido versijoje 2.4.5, o po papildomos saugumo peržiūros — dar ir atnaujino abu įskiepius (cPanel iki 2.4.7, WHM iki 5.3.1.0), užlopydami ir kitus potencialius atakos vektorius.

Tačiau blogiausia jau įvyko. Bendrovė patvirtino aktyvų išnaudojimą, nors detalių nepateikė. Serverių administratoriams paliktas konkretus nurodymas kaip patikrinti, ar serveris paveiktas. Jei komanda nieko negrąžina — galima atsikvėpti. Jei išveda IP adresų sąrašą — reikia nedelsiant juos peržiūrėti ir, jei jie nepriklauso legitimiems vartotojams, blokuoti.

Tai jau antras didelis cPanel incidentas per kelias savaites. Balandžio pabaigoje buvo atskleista kritinė spraga CVE-2026-41940 (CVSS 9.8), kurią nežinomi užpuolikai aktyviai naudojo Mirai botneto variantams ir naujai išpirkos reikalaujančiai programai pavadinimu „Sorry" platinti.

LiteSpeed yra vienas populiariausių web serverių — jį naudoja daugiau nei 10% visų interneto svetainių. cPanel, savo ruožtu, valdo didžiąją dalį komercinio hostingo rinkos. Šios dvi platformos kartu reiškia milžinišką atakos paviršių, o dvi kritinės spragos per tokį trumpą laiką kelia klausimą: ar cPanel ekosistema nėra tapusi ta vieta, kurią užpuolikai jau įprato laikyti savo kiemu?

Jei neatidėliotinas atnaujinimas neįmanomas, LiteSpeed rekomenduoja pašalinti vartotojo galinį įskiepį iš viso — paprasta komanda terminale pašalina pažeidžiamą kodą, kol bus galima įdiegti pataisytą versiją.

Dažnai užduodami klausimai

Kaip sužinoti, ar mano serveris paveiktas?
Paleiskite LiteSpeed pateiktą `grep` komandą. Jei ji nieko negrąžina — serveris švarus. Jei rodomi IP adresai — patikrinkite, ar jie priklauso jūsų administratoriams, ir jei ne, blokuokite.
Ar WHM įskiepis taip pat paveiktas?
Ne. Pažeidžiamumas veikia tik LiteSpeed User-End cPanel įskiepį. WHM įskiepis nėra paveiktas, tačiau LiteSpeed vis tiek jį atnaujino kaip prevencinę priemonę.
Kokią žalą gali padaryti ši ataka?
Užpuolikas gauna root teises serveryje, todėl gali pasiekti visas svetaines, duomenų bazes, el. pašto paskyras, SSL raktus ir klientų duomenis. Vienas pažeistas hostingo klientas gali kompromituoti visą serverį.

Šaltiniai

  1. The Hacker News — LiteSpeed cPanel Plugin CVE-2026-48172 Exploited to Run Scripts as RootThehackernews · 2026
  2. LiteSpeed oficialus saugumo pranešimasLitespeedtech · 2026
  3. BleepingComputer — LiteSpeed cPanel plugin flaw exploited in the wildBleepingcomputer · 2026