cPanel vydal mimořádnou záplatu. Aktivně zneužívaná chyba v doplňku LiteSpeed ohrožuje hostingové servery

Správci serverů využívajících cPanel by měli neprodleně zkontrolovat stav aktualizací. Společnost cPanel vydala mimořádný bezpečnostní balíček kvůli zranitelnosti, která je podle dostupných informací aktivně zneužívána v reálných útocích a může vést k eskalaci oprávnění až na úroveň root.

Situace je významná zejména pro poskytovatele webhostingu, správce sdílených serverových prostředí a firmy provozující více zákaznických webů na jedné infrastruktuře. Úspěšné zneužití podobné chyby může znamenat plnou kompromitaci serveru, přístup k webovým aplikacím, databázím, konfiguračním souborům i datům zákazníků.

Problém se týká pluginu LiteSpeed

Podle dostupných informací neleží hlavní riziko v samotném jádru cPanelu, ale v externím end-user pluginu LiteSpeed. Zranitelnost typu privilege escalation umožňuje útočníkovi zvýšit oprávnění a potenciálně získat plnou kontrolu nad napadeným serverem.

cPanel kvůli závažnosti situace vydal opravný balíček dříve, než bylo původně plánováno. Součástí bezpečnostní reakce je automatické odstranění dotčeného LiteSpeed pluginu. Cílem tohoto kroku je uzavřít aktivně zneužívaný vektor útoku do doby, než bude k dispozici bezpečná oprava na straně samotného rozšíření.

Automatická deinstalace má proběhnout v rámci standardního nočního aktualizačního cyklu. Vzhledem k tomu, že je zranitelnost již zneužívána, však správci nemají spoléhat pouze na automatické aktualizace.

Ruční aktualizace má přednost před čekáním

cPanel v aktuálním bezpečnostním balíčku řeší také další dvě závažné chyby označené jako SEC-73728 a SEC-73755. Technické detaily jsou dostupné v dokumentaci podpory cPanelu, avšak z provozního hlediska je zásadní především rychlost nasazení opravy.

Správcům serverů se doporučuje provést ruční aktualizaci bez odkladu, ověřit její úspěšné dokončení a zkontrolovat, zda byl zranitelný plugin odstraněn nebo jinak bezpečně ošetřen. V prostředích s více servery je vhodné postupovat koordinovaně, ale bez zbytečného odkladu, zejména u systémů vystavených internetu a u serverů s vysokým počtem hostovaných účtů.

Zvláštní pozornost vyžadují starší instalace na CentOS 6 nebo CloudLinux 6. U těchto systémů je podle dostupných informací nutné nejprve provést aktualizaci na větev cl6110 a teprve poté spustit manuální aktualizaci samotného cPanelu.

Riziko pro hostingy i firemní provoz

Pro poskytovatele webhostingu je incident připomínkou, že riziko nemusí vycházet pouze ze samotné administrační platformy, ale také z doplňků a rozšíření třetích stran. Právě ty bývají v hostingových prostředích nasazovány plošně a mohou mít vysoká oprávnění nebo přístup k citlivým částem systému.

Kromě samotné aktualizace by měli administrátoři prověřit auditní logy, známky podezřelých přihlášení, neobvyklé změny oprávnění, nové uživatelské účty, úpravy cron úloh a změny v konfiguraci webových služeb. V případě podezření na kompromitaci je vhodné rotovat přístupové údaje, zkontrolovat integritu hostovaných webů a ověřit, zda nedošlo k nasazení webshellů nebo jiného perzistentního malwaru.

Zdroj ilustračního obrázku: Photo by Emile Perron on Unsplash