境界侵害とシステム全体のリスク
LiteSpeedは最近、ユーザー向けcPanelプラグインに存在する重大な権限昇格の脆弱性を修正しました。この深刻なセキュリティ上の欠陥は、CVE-2026-48172として世界的に追跡されています。脅威アクターはすでにアクティブなサイバーキャンペーンでこの欠陥を悪用しています。その結果、認証済みのcPanelテナントであれば誰でも、ルートレベルの権限で任意のスクリプトペイロードを実行できます。この特定の悪用シナリオは、共有ホスティングインフラに甚大な危険をもたらします。したがって、単一の侵害されたアカウントが、ホストノード全体の制御を掌握するための直接の足がかりになり得ます。
影響を受けるアーキテクチャの構造的範囲
このアーキテクチャ上の脆弱性は、消費者向けcPanelプラグイン層にのみ存在します。一方、LiteSpeed Web Host Manager(WHM)のコアコンポーネントは、直接的な悪用に対して構造的に免疫を持っています。それにもかかわらず、強化されたcPanelバイナリは更新されたWHM管理パッケージにバンドルされて同梱されています。LiteSpeedは当初、cPanelプラグインバージョン2.4.5にターゲットを絞ったコード修正を展開しました。その後の安全性レビューを受け、ベンダーはLiteSpeed WHMプラグイン5.3.1.0への完全な移行を推奨しました。特筆すべきは、この包括的なリリースにはセキュアなcPanelプラグインバージョン2.4.7が含まれていることです。
Redisハンドラ内のロジック逆転
コアの脆弱性は、特殊なlsws.redisAble機能エンジン内に現れます。この特定のハンドラを通じて、攻撃者は標準的なセキュリティパラメータをバイパスし、ルートレベルのスクリプト実行を引き起こすことができます。通常の運用形態では、cPanel環境は隣接するサイトを保護するために厳格にサンドボックス化されている必要があります。しかし、このロジックエラーは非特権テナントとコアシステム管理を隔てる境界を完全に消滅させます。この構造的な崩壊により、セキュリティアナリストはこの欠陥を高深刻度の権限昇格として指定しました。
脆弱なソフトウェア層の特定
ユーザー向けcPanelプラグインバージョン2.3から2.4.4を実行している本番環境は、直ちに危険にさらされています。したがって、レガシーインストールを管理するシステム管理者は、極めて緊急にアップデートを実行する必要があります。現在アクティブなキャンペーンが進行中であるため、防御側はエンドポイントを積極的に監査する必要があります。過去の侵害の微妙な痕跡がないか確認してください。
フォレンジック検証とテレメトリ分析
迅速なインシデント対応を促進するため、LiteSpeedは侵害された機能呼び出しのシステムログを検索することを推奨しています。管理者は、ターゲットを絞った診断コマンドを使用してローカライズされたパターンマッチを実行できます:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
コマンドが空の出力を返した場合、お使いの環境にはアクティブな悪用の明らかな痕跡がない可能性があります。一方、一致が検出された場合は、直ちに深層テレメトリのトリアージが必要です。防御側は、それらの特定のログファイルに記録されているソースIPアドレスを緊急に特定する必要があります。さらに、正当な管理リクエストと悪意のある操作トラフィックを区別しなければなりません。
包括的なログのトリアージ
同時に、管理者は敵対的なネットワークノードをブロックし、まったく同じ時間枠の隣接するシステムログを相互調査する必要があります。このフォレンジックの詳細調査により、不正なアクターがルートレベルの権限で不正なコマンドを実行したかどうかを検証できます。
最優先の修正プレイブック
ベンダーの最終的な推奨事項は、LiteSpeed WHMプラグイン5.3.1.0以降のビルドへの即時アップグレードを命じています。このマスターパッケージは、強化されたcPanelプラグインバージョン2.4.7をWebサーバーに直接展開します。特筆すべきは、このデプロイメントが主要な欠陥を緩和しながら、包括的なセキュリティ調査中に発見された二次的な脆弱性も無効化することです。安心なことに、エンジニアリングチームは悪意のあるアクターがそれらを発見または武器化する前に、これらの補助的なギャップをプロアクティブに修正しました。このプロアクティブな強化は、cPanelおよびWebProsセキュリティユニットと緊密に連携して実施された内部監査の結果です。
一時的な無効化プロトコル
本番環境の制約により完全なシステムアップグレードが不可能な場合、LiteSpeedは暫定的な回避策を提供しています。管理者は、ユーザー向けcPanelプラグインをサーバーフレームワークから一時的に完全に削除することができます。この隔離プロトコルを実行するには、提供されているアンインストールバイナリを実行してください:
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
このステップにより、脆弱なコードパスが完全に無効化され、即時の悪用リスクが緩和されます。ただし、このアプローチは厳密に短期的な暫定措置として機能します。したがって、エンジニアリングチームは包括的なパッチ展開を計画し、侵害後に残存する可能性のあるアーティファクトがないかターミナルを継続的に監査する必要があります。
インシデントの時系列ライフサイクル
LiteSpeedは2026年5月19日に最初の脆弱性開示を受け取りました。同時に、cPanelセキュリティユニットは侵害されたユーザー拡張機能を削除するための自動指令を発行しました。LiteSpeedは迅速にcPanelプラグインバージョン2.4.6とWHMパッチ5.3.0.0を開発・配布しました。5月20日までに、組織は欠陥を記録するためのCVE追跡指定を正式に要請しました。最終的に5月21日、エンジニアたちは徹底的なコードレビューを完了し、WHM 5.3.1.0マスタービルド内でcPanelバージョン2.4.7をリリースしました。
協調的なエコシステム防衛
セキュリティ研究者のDavid Strydomが基本的な設計上の異常を特定し、ベンダーに責任を持って報告しました。さらに、LiteSpeedは迅速なクロスファンクショナルな調整に対してcPanelグループへの正式な謝意を表明しました。この迅速な同期により、進行中の敵対的なキャンペーンの影響範囲を効果的に制限することができました。本稿執筆時点において、特定されたすべてのセキュリティギャップは包括的に無効化されています。したがって、完全に更新されたデプロイメント構成には補足的な保護介入は必要ありません。最終的に、レガシーの管理者はこのソフトウェアアップデートを優先し、不正なredisAbleの呼び出しについて過去のテレメトリを細かく分析する必要があります。
翻訳元: https://meterpreter.org/litespeed-cpanel-plugin-exploit-root-privilege-escalation/
