آسیب‌پذیری بحرانی در cPanel (دریافت پیوندک)

نوشته شده در تاریخ: 20/02/05 |

چرا این آسیب‌پذیری بحرانی محسوب می‌شود؟

در ارزیابی آسیب‌پذیری‌های امنیتی، معمولاً سه عامل اهمیت زیادی دارند:

  • شدت آسیب‌پذیری
  • میزان سادگی بهره‌برداری
  • وسعت تأثیر

این مورد هر سه معیار را در بالاترین سطح قرار می‌دهد:

  • دسترسی سطح بالا پس از نفوذ
  • امکان سوءاستفاده بدون نیاز به اطلاعات ورود
  • استفاده گسترده cPanel در اینترنت

ترکیب این عوامل باعث شده این نقص در دسته آسیب‌پذیری‌های «بحرانی واقعی» قرار بگیرد؛ نه صرفاً یک تهدید تئوریک.

واکنش شرکت‌ها و مدیران زیرساخت

اهمیت موضوع باعث شد برخی ارائه‌دهندگان خدمات میزبانی، حتی پیش از انتشار نسخه اصلاحی، دسترسی به پورت‌های مدیریتی cPanel و WHM مانند 2083 و 2087 را محدود کنند.

این نوع اقدامات معمولاً زمانی انجام می‌شود که:

  • احتمال بهره‌برداری واقعی بالا باشد
  • یا انتشار اکسپلویت عمومی در کوتاه‌مدت پیش‌بینی شود

هشدار امنیتی — آسیب‌پذیری بحرانی در cPanel / WHM

محصول آسیب‌پذیر: cPanel / WHM
شناسه آسیب‌پذیری: CVE-2026-41940
درجه خطر: 9.8 — بحرانی
نوع حمله: دور زدن احراز هویت بدون نیاز به لاگین
وضعیت فعلی: بهره‌برداری فعال در سطح اینترنت (0-Day)

جزئیات فنی

این آسیب‌پذیری به دلیل ضعف در مدیریت CRLF Injection طی فرآیند ورود و مدیریت session ایجاد شده است.

سرویس آسیب‌پذیر

cpsrvd

سناریوی حمله

مهاجم با ارسال هدر Authorization دستکاری‌شده و تزریق کاراکترهای \r\n در درخواست، می‌تواند session مخربی ایجاد کند که پیش از تکمیل احراز هویت روی دیسک ذخیره می‌شود.

در ادامه، مقادیری مانند:

user=root

در session تزریق شده و پس از بارگذاری مجدد session، مهاجم بدون ورود واقعی به دسترسی مدیریتی می‌رسد.

پیامدهای احتمالی

در صورت موفقیت حمله، مهاجم می‌تواند:

  • دسترسی کامل root به سرور بگیرد
  • تمام اکانت‌های هاست را کنترل کند
  • فایل‌ها و دیتابیس‌ها را تغییر دهد
  • بک‌دور ایجاد کند
  • اطلاعات حساس را سرقت کند
  • از سرور برای نفوذ به سایر سیستم‌ها استفاده کند

نسخه‌های آسیب‌پذیر

تقریباً تمام نسخه‌های cPanel/WHM که هنوز patch امنیتی دریافت نکرده‌اند، در معرض خطر قرار دارند.

نسخه‌های ایمن

  • 11.86.0.41+
  • 11.110.0.97+
  • 11.118.0.63+
  • 11.126.0.54+
  • 11.130.0.19+
  • 11.132.0.29+
  • 11.134.0.20+
  • 11.136.0.5+

اقدامات فوری پیشنهادی

به‌روزرسانی فوری:

/scripts/upcp --force
reboot

بررسی نسخه نصب‌شده:

/usr/local/cpanel/cpanel -V

راهکار موقت در صورت عدم امکان آپدیت

مسدودسازی پورت‌های مدیریتی:

iptables -A INPUT -p tcp -m multiport --dports 2083,2087,2095,2096 -j DROP

یا توقف سرویس cPanel:

service cpanel stop

نشانه‌های احتمالی نفوذ (IoC)

در لاگ‌ها موارد زیر بررسی شوند:

  • وجود هم‌زمان token_denied و cp_security_token
  • session دارای tfa_verified بدون origin معتبر
  • sessionهایی که قبل از لاگین ایجاد شده‌اند اما سطح دسترسی دارند
  • وجود \n یا \r\n در password
  • کوکی‌های مشکوک whostmgrsession

مسیر لاگ‌ها

/usr/local/cpanel/logs/access_log
/usr/local/cpanel/logs/error_log
/usr/local/cpanel/logs/login_log

وضعیت تهدید

گزارش‌ها نشان می‌دهد این آسیب‌پذیری حداقل حدود یک ماه در حال exploitation بوده و اسکن گسترده سرورهای اینترنتی برای یافتن پورت‌های باز مرتبط با cPanel انجام می‌شود.

تمرکز مهاجمان عمدتاً روی سرورهای public با دسترسی مستقیم به WHM و cPanel است.

پیشنهادهای سخت‌سازی امنیتی

  • محدود کردن دسترسی WHM به IPهای مشخص
  • فعال‌سازی احراز هویت دومرحله‌ای برای مدیران
  • غیرفعال‌کردن لاگین مستقیم root
  • محدود کردن دسترسی مدیریتی از طریق VPN
  • مانیتورینگ مداوم مسیر:
/var/cpanel/sessions/

جمع‌بندی

این رخداد بار دیگر نشان می‌دهد که حتی حیاتی‌ترین لایه‌های امنیتی نیز در صورت پیاده‌سازی نادرست می‌توانند به نقطه ضعف تبدیل شوند.

در دنیای واقعی، امنیت فقط به داشتن مکانیزم احراز هویت وابسته نیست؛ بلکه کیفیت پیاده‌سازی، به‌روزرسانی مستمر، مانیتورینگ دقیق و اعمال سیاست‌های دسترسی محدود، نقش تعیین‌کننده‌ای در حفظ امنیت زیرساخت دارند.

صفحات: 1 2