CISAが攻撃に悪用されたcPanelプラグインの別の脆弱性に警告

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、LiteSpeed cPanelユーザーエンドプラグインに存在する積極的に悪用されている脆弱性（CVE-2026-54420）への対処について、米国政府機関に3日以内のサーバー保護を命じました。

CVE-2026-48172として追跡されているこの高深刻度の脆弱性はNamecheapによって報告されたもので、FTPまたはウェブシェルのアクセス権を持つ攻撃者がCloudLinux/CageFSを実行する共有ホスティングサーバー上でroot権限への昇格を行える可能性があります。

この脆弱性はバージョン2.4.8より前のすべてのユーザーエンドプラグインに影響し、「UNIXシンボリックリンク追跡」の脆弱性に起因しています。

LiteSpeedは6月初旬に本脆弱性が積極的に悪用されていることを公表し、緊急セキュリティアップデートをリリースしました。ユーザーに対しては、cPanelユーザーエンドプラグイン（WHMプラグインに同梱）を最新バージョンへアップデートするよう呼びかけています。

ユーザーは以下のコマンドを使用して、CVE-2026-48172の脆弱性を標的とした攻撃に対してサーバーが脆弱かどうかを確認することが推奨されています。

grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null

「このコマンドの実行結果に何らかの出力が表示された場合、お使いのサーバーで脆弱性が悪用されている可能性があります。[..] 被害の範囲を特定するには、検出されたIPアドレスによる操作についてシステムログをご確認ください」とLiteSpeedは説明しています。「この脆弱性は積極的に悪用されており、2.4.8より前のすべてのユーザーエンドプラグインバージョンにリスクをもたらしています。」

月曜日、CISAはこの脆弱性を既知の悪用された脆弱性カタログ（KEV）に追加し、拘束的運用指令（BOD）26-04の要件に基づき、連邦民間行政機関（FCEB）に3日以内のシステム保護を命じました。

BOD 26-04は先週水曜日に発出され（旧BOD 19-02および22-01を廃止）、米国連邦機関に対して悪用リスクに基づいたパッチ適用の優先順位付けを求めています。

リスク評価において考慮すべき主な要素としては、該当する脆弱性がCISAのKEVカタログに掲載されているかどうか、対象資産がインターネット上に公開されているかどうか、大規模攻撃への悪用が自動化できるかどうか、そして悪用に成功した場合に攻撃者が標的システムの部分的または全体的な制御を獲得できるかどうかが挙げられます。

「この種の脆弱性は悪意あるサイバーアクターにとって常套的な攻撃経路であり、連邦企業に重大なリスクをもたらしています」と、同サイバーセキュリティ機関は昨日警告しました。「クラウドサービスには該当するBOD 26-04のガイダンスに従うか、緩和策が利用できない場合は当該製品の使用を中止してください。各資産のインターネット露出を評価し、BOD 26-04のパッチ適用ガイドラインへの準拠を確保する責任は、利害関係者にあります。」

先月、CISAは連邦機関に対し、別のLiteSpeed cPanelの脆弱性（CVE-2026-48172）へのパッチ適用を警告していました。この脆弱性は、未認証の攻撃者がroot権限で任意のスクリプトを実行するために悪用されていたものです。