LiteSpeed tarafından geliştirilen cPanel eklentisinde, CVE-2026-48172 kodlu ve CVSS skoru 10.0 olan kritik bir yetki yükseltme açığı tespit edildi. Bu güvenlik açığı, saldırganların lsws.redisAble fonksiyonunu kullanarak root yetkisiyle rastgele komut dosyaları çalıştırmasına olanak tanıyor. Etkilenen eklenti sürümleri 2.3 ile 2.4.4 arasında yer alıyor ve WHM eklentisi bu zafiyetten etkilenmiyor.
Saldırının Genel Çerçevesi
Bu zafiyet, özellikle cPanel kullanıcıları (saldırganlar veya ele geçirilmiş hesaplar dahil) tarafından kötüye kullanılabiliyor. Saldırganlar, bu açık sayesinde sistemde yüksek ayrıcalıklarla komut dosyaları çalıştırarak kalıcı erişim sağlayabilir ve sistem üzerinde tam kontrol elde edebilirler. Güvenlik araştırmacısı David Strydom tarafından keşfedilen ve raporlanan bu açık, LiteSpeed tarafından 2.4.5 sürümünde giderildi.
Ancak yapılan analizler, açığın hâlâ aktif olarak istismar edildiğini gösteriyor. LiteSpeed, sistem yöneticilerinin aşağıdaki komutla istismar belirtilerini kontrol etmelerini öneriyor:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
Komut herhangi bir çıktı üretmiyorsa, sunucu etkilenmemiş demektir. Çıktı varsa, listelenen IP adreslerinin doğruluğu kontrol edilmeli ve şüpheli adresler engellenmelidir.
Hangi Sistemler Risk Altında?
Bu zafiyet, özellikle web hosting sağlayıcıları, SaaS platformları ve cPanel kullanan tüm sunucular için kritik risk oluşturuyor. Saldırganlar, bu açığı kullanarak sistemlerde kalıcı arka kapılar oluşturabilir, veri sızıntısı yapabilir veya fidye yazılımı saldırıları için altyapı hazırlayabilirler. Önceki kritik cPanel açığı CVE-2026-41940 gibi, bu tür zafiyetler özellikle bulut güvenliği ve ağ segmentasyonu stratejilerinin önemini bir kez daha ortaya koyuyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Etkilenen eklenti sürümünü 2.4.7 veya üzeri ile güncelleyin.
- WHM eklentisini 5.3.1.0 sürümüne yükselterek ek güvenlik yamalarını uygulayın.
- Hızlı müdahale için kullanıcı tarafı eklentiyi kaldırmak üzere “/usr/local/lsws/admin/misc/lscmctl cpanelplugin –uninstall” komutunu kullanın.
- Sunucu loglarını düzenli olarak inceleyerek anormal API çağrılarını tespit edin.
- EDR ve SIEM çözümlerinizde lsws.redisAble fonksiyonuna yönelik istismar denemelerini tespit edecek kurallar oluşturun.
- Yetkisiz erişim ihtimaline karşı IAM politikalarını gözden geçirin ve mümkünse Zero Trust prensiplerini uygulayın.
- Güvenlik duvarı ve ağ segmentasyonu ile kritik servislerin erişimini kısıtlayın.
- Olay müdahale süreçlerinizi güncelleyerek bu tür yetki yükseltme saldırılarına karşı hazırlıklı olun.
Saldırı Zinciri ve Teknik Detaylar
Bu zafiyetin istismarında saldırganlar öncelikle düşük yetkili bir cPanel hesabını ele geçiriyor veya doğrudan saldırı gerçekleştiriyor. Ardından lsws.redisAble fonksiyonunu kullanarak root yetkisiyle komut dosyaları çalıştırıyorlar. Bu aşamada, sistem üzerinde kalıcı arka kapılar açmak, veri çekmek veya zararlı yazılım yüklemek mümkün hale geliyor. Bu tür saldırılar, özellikle fidye yazılımı kampanyalarında ve botnet dağıtımlarında tercih edilen yöntemler arasında yer alıyor.
Son raporlar, bu açığın Mirai botnet varyantları ve Sorry adlı fidye yazılımı dağıtımında kullanıldığını gösteriyor. Bu nedenle, e-posta güvenliği ve bulut güvenliği önlemlerinin yanı sıra ağ segmentasyonu ve olay müdahale planlarının önemi artıyor.