-
09/04/2020
-
141
-
1.932 bài viết
CISA cảnh báo về lỗ hổng LiteSpeed cPanel đang bị khai thác ngoài thực tế
Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) vừa phát cảnh báo khẩn về lỗ hổng nghiêm trọng CVE-2026-48172 trong plugin LiteSpeed dành cho cPanel, sau khi xác nhận lỗ hổng này đang bị khai thác ngoài thực tế.
CVE-2026-48172 được chấm điểm CVSS tối đa 10.0, bắt nguồn từ lỗi phân quyền không chính xác trong plugin LiteSpeed dành cho cPanel. Theo LiteSpeed, bất kỳ tài khoản cPanel nào, bao gồm tài khoản bị xâm nhập hoặc do kẻ tấn công tạo ra, đều có thể lợi dụng hàm lsws.redisAble để thực thi tập lệnh tùy ý với quyền root trên máy chủ.
Điều khiến lỗ hổng này trở nên nguy hiểm là kẻ tấn công không cần sở hữu quyền quản trị hay phải sử dụng chuỗi khai thác phức tạp. Chỉ với quyền truy cập ở mức người dùng cơ bản, đối tượng tấn công đã có thể leo thang đặc quyền trực tiếp lên cấp cao nhất của hệ thống, từ đó chỉnh sửa cấu hình máy chủ, triển khai mã độc hoặc tạo cơ chế truy cập bí mật nhằm duy trì hiện diện lâu dài.
Lỗ hổng ảnh hưởng tới tất cả phiên bản LiteSpeed User-End cPanel Plugin từ 2.3 đến 2.4.4, trong khi plugin quản lý máy chủ WHM của LiteSpeed không bị tác động. LiteSpeed đã phát hành bản vá trong phiên bản 2.4.5, đồng thời tiếp tục cập nhật cPanel plugin 2.4.7 đi kèm WHM Plugin 5.3.1.0 sau khi tiến hành rà soát bổ sung đối với cả hai plugin nhằm xử lý thêm các vector tấn công tiềm ẩn.
CVE-2026-48172 gây rủi ro lớn đối với các môi trường shared hosting và hạ tầng cloud đa tenant, nơi nhiều website và tài khoản khách hàng cùng hoạt động trên một máy chủ hoặc cụm máy chủ chung. Khi cơ chế phân tách quyền truy cập bị phá vỡ, chỉ một tài khoản cPanel bị lộ hoặc bị xâm nhập cũng có thể trở thành điểm khởi đầu để kẻ tấn công mở rộng quyền kiểm soát sang nhiều website và dịch vụ khác trên cùng hạ tầng.
Hoạt động khai thác lỗ hổng cũng có thể diễn ra âm thầm trong thời gian dài nếu hệ thống thiếu cơ chế giám sát phù hợp. Sau khi giành được quyền root, kẻ tấn công có khả năng can thiệp trực tiếp vào các tiến trình hệ thống, chỉnh sửa dịch vụ đang vận hành hoặc tạo tác vụ chạy nền nhằm duy trì hiện diện trên máy chủ mà không dễ bị phát hiện. Điều này khiến quá trình rà soát, điều tra và khôi phục hệ thống sau xâm nhập trở nên phức tạp hơn đối với các nhà cung cấp hosting.
LiteSpeed cho biết lỗ hổng hiện đang bị khai thác ngoài thực tế nhưng chưa công bố thêm chi tiết kỹ thuật về các cuộc tấn công. Hãng đồng thời chia sẻ một chỉ dấu xâm nhập (IoC) giúp quản trị viên kiểm tra hệ thống thông qua việc rà soát các yêu cầu chứa chuỗi cpanel_jsonapi_func=redisAble trong log cPanel. Nếu phát hiện kết quả bất thường, quản trị viên được khuyến nghị xác minh địa chỉ IP liên quan và chặn ngay các kết nối đáng ngờ.
CISA đã bổ sung CVE-2026-48172 vào danh mục Known Exploited Vulnerabilities (KEV) từ ngày 26/5/2026, xác nhận lỗ hổng này đã bị khai thác ngoài thực tế. Theo chỉ thị Binding Operational Directive 22-01, các cơ quan liên bang Mỹ phải hoàn tất khắc phục trước ngày 29/5/2026. Việc bị đưa vào KEV cũng cho thấy CVE-2026-48172 đang được xem là mối đe dọa cần ưu tiên xử lý khẩn cấp đối với các hệ thống hosting và dịch vụ web sử dụng LiteSpeed.
LiteSpeed khuyến nghị người dùng nhanh chóng nâng cấp lên WHM Plugin 5.3.1.0 đi kèm cPanel plugin 2.4.7 hoặc mới hơn để vá lỗi. Trong trường hợp chưa thể cập nhật ngay, quản trị viên nên gỡ bỏ User-End cPanel Plugin nhằm giảm nguy cơ bị khai thác.
Vụ việc xuất hiện chỉ vài tuần sau khi lỗ hổng nghiêm trọng CVE-2026-41940 trong cPanel bị kẻ tấn công khai thác để phát tán biến thể Mirai botnet và mã độc tống tiền Sorry, cho thấy các nền tảng hosting tiếp tục trở thành mục tiêu hấp dẫn đối với các chiến dịch tấn công nhằm chiếm quyền máy chủ và mở rộng hạ tầng độc hại.