cPanel'de Kritik Kimlik Doğrulama Açığı Aktif Olarak Kullanılıyor: CISA Uyarısı

cPanel'deki Kritik Açık Aktif Olarak Kullanılıyor

cPanel'in dünya genelinde milyonlarca web sitesi tarafından kullanılan popüler web barındırma kontrol paneli yazılımında tespit edilen CVE-2026-41940 kimlik doğrulama bypass açığı, siber saldırganlar tarafından aktif olarak istismar ediliyor. Güvenlik araştırmacıları ve barındırma hizmeti sağlayıcıları tarafından doğrulanan bu tehdit, sistemlere yetkisiz erişim sağlamak için kullanılıyor.

Açığın Kapsamı ve Etkisi

Araştırmacılar, tüm desteklenen cPanel ve WebHost Manager (WHM) sürümlerinde (sürüm 11.40 sonrası) ve cPanel tabanlı WordPress barındırma yönetim paneli olan WP Squared üzerinde etkili olan bu açığın, internet üzerinde yaklaşık 1,5 milyon cPanel örneğinin maruz kaldığını tahmin ediyor. Ancak, savunmasız sistemlerin kesin sayısı henüz bilinmiyor.

Teknik Detaylar: Açık Nasıl İşliyor?

Güvenlik firması watchTowr tarafından yapılan teknik incelemeye göre, açık, kullanıcı giriş işlemi sırasında yanlış veri işleme nedeniyle ortaya çıkıyor. Saldırganlar, parola alanına gizlenmiş satır sonu karakterleri (newline) enjekte ederek, sunucu tarafı oturum dosyasına keyfi veri yerleştirmeyi başarıyor. Bu veriler daha sonra etkin önbelleğe alınarak, sistem tarafından geçerli bir oturum olarak algılanıyor ve parola doğrulama adımı atlanıyor.

"Saldırganlar, parola alanına gizlenmiş satır sonu karakterleri yerleştirerek, cPanel'in oturum dosyasına keyfi veri enjekte edebiliyor. Bu veriler, sistem tarafından zaten doğrulanmış bir oturum olarak algılanıyor ve parola kontrolü tamamen atlanıyor."

CISA ve Endüstri Tepkisi

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-41940'yı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) listesine ekledi. Bu liste, federal kurumların acilen yamalaması gereken açıkları içeriyor. CISA'nın uyarısının ardından, birçok barındırma sağlayıcısı ve alan adı kayıt şirketi önlemler aldı.

Namecheap, büyük bir alan adı kayıt şirketi ve barındırma sağlayıcısı, resmi yama yayınlanmadan önce cPanel ve WHM portlarını (2083 ve 2087) geçici olarak kapattı. Şirket, müşterilerini korumak için bu adımı attığını belirtti. cPanel'in yaması yayınlandıktan sonra Namecheap, gerekli güvenlik güncellemelerini uygulamaya başladı.

cPanel'den Kritik Yama ve Öneriler

cPanel, açığı kapatan yamayı 11.110.0 ile 11.136.0 arasındaki yedi farklı sürüm dalı ve WP Squared 11.136.1 için yayınladı. Şirketin yaptığı açıklamada, yamanın, tehlikeli girdilerin otomatik olarak temizlenmesini sağladığı ve her kod parçasının ayrı ayrı temizlenmesine olanak tanıdığı belirtildi.

Yama ayrıca, per-oturum şifreleme anahtarının eksik olduğu durumları da ele alıyor. Bu durum, orijinal kod tarafından göz ardı edilmiş ve saldırganların parola kodlamasını tamamen atlamasına olanak sağlamıştı. Açık, CVSS 9.8 puanı ile kritik seviyede değerlendiriliyor.

Güvenlik Önlemleri ve Tespit Araçları

cPanel, sistemlerinde olası saldırıları tespit etmek için bir taramacı komut dosyası yayınladı. Bu komut dosyası, aşağıdaki belirtileri tarayarak, saldırıların tespit edilmesine yardımcı oluyor:

• Enjekte edilmiş kimlik doğrulama zaman damgaları içeren oturum dosyaları
• Kimlik doğrulaması yapılmadan oluşturulan ancak yetkili özelliklere sahip oturumlar
• Parola alanlarında gizlenmiş satır sonu karakterleri

watchTowr ise yöneticilerin sistemlerinin savunmasız olup olmadığını kontrol etmelerine olanak tanıyan bir Tespit Artifact Üretici yayınladı.

Ne Yapmalısınız?

cPanel kullanıcıları için acil öneriler:

• En kısa sürede cPanel'in yayınladığı yamayı uygulayın.
• cPanel'in taramacı komut dosyasını kullanarak sisteminizi tarayın ve olası saldırıları tespit edin.
• watchTowr'un Tespit Artifact Üretici aracını kullanarak savunmasızlık durumunu doğrulayın.
• Eğer mümkünse, cPanel ve WHM portlarını geçici olarak kapatın ve sadece gerekli durumlarda açın.
• Sistem loglarınızı inceleyerek olağandışı giriş girişimlerini tespit edin.

Bu açık, web barındırma sektöründe ciddi bir tehdit oluşturuyor. Tüm cPanel kullanıcılarının acilen gerekli güvenlik önlemlerini alması ve sistemlerini güncellemeleri büyük önem taşıyor.