CISA cảnh báo lỗ hổng nghiêm trọng trong LiteSpeed cPanel cho phép leo thang đặc quyền root

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa chính thức bổ sung một lỗ hổng bảo mật ảnh hưởng đến plugin LiteSpeed cPanel vào danh mục các lỗ hổng bị khai thác thực tế (Known Exploited Vulnerabilities – KEV). Các cơ quan liên bang đã nhận được yêu cầu bắt buộc phải áp dụng bản vá trước ngày 18/06/2026.

Chi tiết về lỗ hổng CVE-2026-54420

Lỗ hổng này được định danh là CVE-2026-54420 với điểm CVSS là 8.5. Đây là một lỗi leo thang đặc quyền nghiêm trọng, cho phép người dùng đã có quyền truy cập FTP hoặc web shell trên các máy chủ lưu trữ chia sẻ (shared hosting) chạy CloudLinux hoặc CageFS có thể leo thang lên quyền root.

Theo mô tả kỹ thuật, vấn đề nằm ở cách plugin LiteSpeed cPanel (phiên bản trước 2.4.8) xử lý sai các liên kết tượng trưng (symlinks) do người dùng cung cấp. Điều này tạo điều kiện cho kẻ tấn công vượt qua các rào cản bảo mật thông thường.

Cách kiểm tra máy chủ bị ảnh hưởng

Hiện tại, dù chưa có thông tin chi tiết về phạm vi các cuộc tấn công thực tế, LiteSpeed đã cung cấp lệnh kiểm tra nhanh để quản trị viên xác định xem máy chủ của mình có đang bị nhắm mục tiêu hay không:

grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null

Nếu lệnh trên không trả về kết quả, máy chủ của bạn nhiều khả năng an toàn. Nếu có dữ liệu xuất hiện, quản trị viên cần kiểm tra kỹ các dấu hiệu bất thường như: lệnh generateEcCert đi kèm ngay sau packageUserSize cho cùng một người dùng, hoặc có từ 7-10 yêu cầu đồng thời trong một lần thực thi (các luồng UI hợp lệ thường không thực hiện theo cách này).

Khuyến nghị từ chuyên gia

Vấn đề này được phát hiện lần đầu bởi Namecheap vào ngày 31/05/2026. Để bảo vệ hệ thống, người dùng được khuyến cáo nâng cấp ngay lên LiteSpeed WHM Plugin v5.3.2.1 (đi kèm với cPanel plugin v2.4.8) hoặc các phiên bản mới hơn để vá lỗ hổng này một cách triệt để.

Nguồn tham khảo: The Hacker News