Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memberi waktu tiga hari bagi lembaga pemerintah AS untuk mengamankan server mereka dari kerentanan yang dieksploitasi secara aktif (CVE-2026-54420) di plugin pengguna akhir LiteSpeed cPanel.
Dilacak sebagai CVE-2026-48172kerentanan tingkat tinggi ini dilaporkan oleh Namecheap dan memungkinkan penyerang dengan akses FTP atau shell web untuk meningkatkan hak istimewa untuk melakukan root pada server hosting bersama yang menjalankan CloudLinux/CageFS.
Kerentanan ini mempengaruhi semua versi plugin pengguna sebelum 2.4.8 dan berasal dari kelemahan ‘UNIX symlink berikut’.
LiteSpeed menandainya sebagai dieksploitasi secara aktif pada awal Juni dan merilis pembaruan keamanan yang mendesakmemperingatkan pengguna untuk memperbarui plugin pengguna akhir cPanel (dipaketkan dengan plugin WHM) ke versi terbaru.
Pengguna disarankan untuk menggunakan perintah berikut untuk memeriksa apakah server mereka rentan terhadap serangan yang menargetkan kerentanan CVE-2026-48172:
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null
“Jika perintah ini menghasilkan keluaran apa pun, kerentanan mungkin telah dieksploitasi di server Anda. [..] Untuk menentukan kerusakan yang terjadi, periksa log sistem untuk mengetahui tindakan apa pun yang diambil oleh IP yang terdeteksi,” kata LiteSpeed. “Kerentanan ini sedang dieksploitasi secara aktif, dan menimbulkan risiko bagi semua versi plugin pengguna sebelum 2.4.8.”
Pada hari Senin, CISA juga menambahkan bahwa kerentanan terhadapnya Katalog Kerentanan yang Dieksploitasi yang Diketahui (KEV), memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan sistem mereka dalam waktu tiga hari, sebagaimana diwajibkan oleh Petunjuk Operasional yang Mengikat (BOD) 26-04.
Direksi 26-04 dikeluarkan Rabu kemarin (mencabut BOD lama pada 19-02 dan 22-01) dan mengharuskan lembaga-lembaga federal AS untuk memprioritaskan patching berdasarkan risiko eksploitasi.
Faktor-faktor utama yang perlu dipertimbangkan ketika menilai risiko mencakup apakah kelemahan keamanan disertakan dalam katalog KEV CISA, apakah aset tersebut diekspos secara online kepada publik, apakah eksploitasi dapat diotomatisasi untuk serangan skala besar, dan apakah eksploitasi yang berhasil memberikan penyerang kendali sebagian atau seluruhnya atas sistem yang ditargetkan.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” badan keamanan siber memperingatkan kemarin. “Ikuti panduan BOD 26-04 yang berlaku untuk layanan cloud atau hentikan penggunaan produk jika mitigasi tidak tersedia. Pemangku kepentingan bertanggung jawab untuk mengevaluasi paparan internet setiap aset dan memastikan kepatuhan terhadap pedoman patching BOD 26-04.”
Bulan lalu, CISA memperingatkan lembaga-lembaga federal untuk menambal kerentanan LiteSpeed cPanel lainnya (CVE-2026-48172), yang dieksploitasi oleh penyerang yang tidak diautentikasi untuk mengeksekusi skrip arbitrer dengan hak akses root.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
