CSIRT CeZ przypomina: krytyczna podatność w cPanel oraz WebHost Manager | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

ikona tarczy z kłódką w środku na tle zakapturzonej postaci

CSIRT CeZ przypomina: krytyczna podatność w cPanel oraz WebHost Manager

CSIRT CeZ przypomina: krytyczna podatność w cPanel oraz WebHost Manager (WHM) o najwyższym poziomie zagrożenia jest aktywnie wykorzystywana. Podatność umożliwia obejście uwierzytelniania i zdalne wykonanie kodu na serwerze. Ze względu na dostępność publicznych narzędzi do jej wykorzystania oraz wysokie ryzyko przejęcia systemów i kradzieży danych, konieczne jest natychmiastowe podjęcie działań zabezpieczających, w tym aktualizacja oprogramowania i weryfikacja środowisk.

W związku z publicznie dostępnym kodem do wykorzystania podatności zalecamy podjęcie PILNYCH działań, które mają na celu szybką analizę i bezpieczną mitygację zagrożenia.  

Usługa typu cPanel bardzo często stosowana jest przez dostawców usług hostingowych. W celu weryfikacji bezpieczeństwa usług należy skontaktować się ze swoim dostawcą usług hostingowych.  

Charakterystyka podatności

  • CVE-2026-41940
  • CVSS 3.1: 9,8 (Critical) 
  • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 

Jak działa podatność

W oprogramowaniu cPanel oraz WebHost Manager (WHM) została wykryta podatność umożliwiająca obejście mechanizmów uwierzytelniania oraz zdalne wykonanie kodu na podatnym serwerze. Ryzyko praktycznego wykorzystania luki jest wysokie w związku z publicznie dostępnym kodem do przeprowadzenia ataku.

Podatne systemy

Szczegółowy wykaz podatnego oprogramowania oraz rekomendowane przez producenta działania opublikowane na jego stronie.

Rekomendowane działania

Administratorzy powinni niezwłocznie zaktualizować systemy do wersji zawierającej poprawkę bezpieczeństwa. Poprawki są dostępne, a ich wdrażanie powinno się odbywać w szczególnie ostrożny sposób z uwzględnieniem ryzyk awarii aktualizowanej usługi. Ponadto rekomendujemy weryfikację ewentualnego wcześniejszego wykorzystania podatności. W tym celu można posłużyć się udostępnionym przez producenta skryptem, który umożliwia przeprowadzenie takiej analizy. Skrypt można który można znaleźć na stronie producenta

Uwaga! Skrypt nie był weryfikowany przez CSIRT CeZ i należy wykorzystać go na własną odpowiedzialność.  

Dodatkowe działania:

  1. Wykonanie dodatkowych kopii bezpieczeństwa usług – w trakcie ataku usługi mogą być uszkadzane.
  2. Podatność pozwala na kradzież danych – zalecamy weryfikację metod przechowywania danych w spoczynku:
    1. czy są szyfrowane, 
    2. czy dostępne są po uwierzytelnieniu.
    3. czy plik konfiguracyjny usługi przechowującej dane nie jest w pliku tekstowym i w formie czystego tekstu.
  3. Jeśli usługa przetwarza dane osobowe i wrażliwe oraz jest na hostingu za cPanelem, zalecamy ciągłe monitorowanie usług lub nawet tymczasowe jej wyłączenie.

W przypadku braku możliwości aktualizacji zalecamy tymczasowo: 

  • zablokowanie ruchu przychodzącego na portach 2083, 2087, 2095 oraz 2096 na zaporze sieciowej
  • wyłączenie usług cpsrvd oraz cpdavd za pomocą poniższych poleceń: 

whmapi1 configureservice service=cpsrvd enabled=0 monitored=0

whmapi1 configureservice service=cpdavd enabled=0 monitored=0

/scripts/restartsrv_cpsrvd --stop

/scripts/restartsrv_cpdavd --stop

Należy jednak pamiętać, że powyższe rozwiązanie jest tymczasowe i docelowo konieczna jest aktualizacja oprogramowania. 

Źródła