JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) suteikė JAV vyriausybinėms agentūroms tris dienas apsaugoti savo serverius nuo aktyviai išnaudojamo pažeidžiamumo (CVE-2026-54420) „LiteSpeed cPanel“ naudotojo galo papildinyje.
„Namecheap“ pranešė apie šį labai pavojingą pažeidžiamumą, kuris leidžia užpuolikams, turintiems FTP arba žiniatinklio apvalkalo prieigą, išplėsti privilegijas, kad jie būtų įsišakniję bendro naudojimo prieglobos serveriuose, kuriuose veikia „CloudLinux“ / „CageFS“.
Šis pažeidžiamumas turi įtakos visoms naudotojo galo įskiepių versijoms, senesnėms nei 2.4.8, ir kyla dėl „UNIX simbolinės nuorodos sekimo“ silpnumo.
Birželio pradžioje „LiteSpeed“ pažymėjo, kad jis aktyviai naudojamas, ir išleido skubius saugos naujinimus, įspėdami vartotojus atnaujinti „cPanel“ vartotojo pabaigos įskiepį (susietą su WHM papildiniu) į naujausią versiją.
Vartotojams patariama naudoti šią komandą, kad patikrintų, ar jų serveris yra pažeidžiamas atakų, nukreiptų į CVE-2026-48172 pažeidžiamumą:
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null
„Jei ši komanda duoda kokią nors išvestį, pažeidžiamumas galėjo būti išnaudotas jūsų serveryje. (..) Norėdami nustatyti padarytą žalą, patikrinkite sistemos žurnalus, ar nėra veiksmų, kurių ėmėsi aptikti IP”, – sakė „LiteSpeed”. „Šis pažeidžiamumas yra aktyviai išnaudojamas ir kelia pavojų visoms vartotojo galo įskiepių versijoms, senesnėms nei 2.4.8.
Pirmadienį CISA taip pat pridūrė, kad dėl žinomų išnaudotų pažeidžiamumų katalogo (KEV) pažeidžiamumo federalinės civilinės vykdomosios valdžios (FCEB) agentūros nurodoma apsaugoti savo sistemas per tris dienas, kaip reikalaujama privalomojoje operatyvinėje direktyvoje (BOD) 26-04.
BOD 26-04 buvo išleistas praėjusį trečiadienį (atšaukiantis senesnius BOD 19-02 ir 22-01) ir reikalauja, kad JAV federalinės agentūros teiktų pirmenybę pataisymui, atsižvelgiant į išnaudojimo riziką.
Pagrindiniai veiksniai, į kuriuos reikia atsižvelgti vertinant riziką, yra tai, ar saugos trūkumas įtrauktas į CISA KEV katalogą, ar turtas viešai rodomas internete, ar išnaudojimas gali būti automatizuotas didelio masto atakoms ir ar sėkmingas išnaudojimas užpuolikams suteikia dalinę ar visišką tikslinės sistemos kontrolę.
„Tokio tipo pažeidžiamumas yra dažnas kenkėjiškų kibernetinių veikėjų atakų vektorius ir kelia didelį pavojų federalinei įmonei“, – vakar perspėjo kibernetinio saugumo agentūra. „Laikykitės taikomų BOD 26-04 gairių debesijos paslaugoms arba nustokite naudoti produktą, jei nepasiekiama sušvelninimo priemonių. Suinteresuotosios šalys yra atsakingos už kiekvieno turto poveikio internete įvertinimą ir BOD 26-04 pataisymo gairių laikymosi užtikrinimą.”
Praėjusį mėnesį CISA perspėjo federalines agentūras pataisyti kitą „LiteSpeed cPanel“ pažeidžiamumą (CVE-2026-48172), kuriuo neautentifikuoti užpuolikai pasinaudojo vykdydami savavališkus scenarijus su root teisėmis.
Apsaugos komandos registruoja 54% sėkmingų atakų ir įspėja tik apie 14%. Likusieji juda per jūsų aplinką nematyti.
„Picus“ informaciniame dokumente parodyta, kaip pažeidimo ir atakos modeliavimas tikrina jūsų SIEM ir EDR taisykles, kad aptiktos grėsmės nustotų slysti.
Gaukite baltą lapą
