Federal hükümet kurumlarını da ilgilendiren önemli bir güvenlik açığı, LiteSpeed cPanel eklentisinde ortaya çıktı. CVE-2026-54420 koduyla kayıtlara geçen bu zafiyet, özellikle CloudLinux veya CageFS üzerinde çalışan paylaşımlı hosting sunucularında kullanıcıların root yetkilerine yükselmesine olanak tanıyor.
Açığın Teknik Detayları ve Etki Alanı
Bu güvenlik açığı, LiteSpeed cPanel eklentisinin 2.4.8 sürümünden önceki versiyonlarında bulunuyor. Kullanıcıların FTP veya web shell erişimiyle oluşturdukları sembolik linklerin (symlink) hatalı işlenmesi sonucu, saldırganlar yetkilerini yükselterek sistem üzerinde tam kontrol elde edebiliyor. Özellikle CloudLinux ve CageFS kullanan paylaşımlı hosting ortamlarında bu durum daha kritik hale geliyor. Henüz gerçek hayatta bu açığın nasıl istismar edildiği veya başarılı saldırı vakalarının sayısı konusunda net bilgiler bulunmuyor.
Sunucu Yöneticileri İçin Kontrol Yöntemleri
LiteSpeed tarafından paylaşılan yöntemle, sistem yöneticileri sunucularının etkilenip etkilenmediğini basit bir grep komutuyla kontrol edebiliyor. Eğer aşağıdaki komut herhangi bir çıktı vermezse, sunucu bu açıktan etkilenmemiş demektir:
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null
Komut çıktı verirse, LiteSpeed tarafından belirtilen ek göstergelerle (örneğin aynı kullanıcıdan ardışık generateEcCert ve packageUserSize çağrıları ya da çoklu eşzamanlı istekler) sahte pozitifler ayıklanabiliyor.
Güncelleme ve Korunma Önerileri
Mayıs 2026 sonunda yapılan bildirim üzerine, LiteSpeed kullanıcılarına WHM eklentisini 5.3.2.1 sürümüne (cPanel eklentisi ise 2.4.8 ve üzeri) yükseltmeleri öneriliyor. Bu sürümler, yetki yükseltme açığını gidermek üzere tasarlandı. Özellikle kamu kurumları, barındırma sağlayıcıları ve çok kullanıcılı hosting ortamları için bu güncelleme kritik.
Saldırı Zinciri ve Risk Değerlendirmesi
Bu açığın istismar senaryosu, öncelikle FTP veya web shell erişimi elde edilmiş sistemlerde başlıyor. Ardından, sembolik linklerin kötüye kullanılmasıyla yetki yükseltme sağlanıyor ve root erişimi kazanılıyor. Böylece saldırganlar, sistem üzerinde tam kontrolle kalıcı erişim imkanına kavuşuyor. Bu tür zafiyetlerde etkin loglama, anormal aktivitelerin tespiti ve hızlı müdahale kritik önemde.
Sunucu Yöneticileri İçin Pratik Kontrol Listesi
- Sunucu loglarında şüpheli cpanel_jsonapi_func çağrılarını düzenli kontrol edin.
- FTP ve web shell erişim izinlerini mümkün olduğunca kısıtlayın.
- CloudLinux ve CageFS yapılandırmalarını gözden geçirip güncel tutun.
- LiteSpeed WHM ve cPanel eklentilerini en güncel sürümlere yükseltin.
- Sistem genelinde yetki yükseltme denemelerini tespit edecek EDR kuralları oluşturun.
- Paylaşımlı hosting ortamlarında ağ segmentasyonu ve erişim politikaları uygulayın.
- Olay müdahale süreçlerinizi bu tür zafiyetlere uygun şekilde güncelleyin.
Bu güvenlik açığı, özellikle paylaşımlı hosting altyapılarında köklü erişim sağlama riski taşıması nedeniyle yakından izlenmeli. Kurumlar, e-posta güvenliği ve fidye yazılımı gibi diğer tehditlerle birlikte, bu tür yetki yükseltme saldırılarına karşı da önlemlerini artırmalı.