CISA Cảnh Báo Khẩn Cấp: Vá Ngay Lỗ Hổng Zero-Day Trong Plugin LiteSpeed cPanel

CISA Cảnh Báo Khẩn Cấp: Vá Ngay Lỗ Hổng Zero-Day Trong Plugin LiteSpeed cPanel

Vào thứ Ba vừa qua, Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã kêu gọi các cơ quan liên bang tiến hành vá lỗi ngay lập tức đối với một lỗ hổng có mức độ nghiêm trọng cao trong plugin LiteSpeed user-end dành cho cPanel. Lỗi bảo mật này hiện đang bị các tin tặc khai thác tích cực trên thực tế.

CISA KEV

Lỗ hổng này được theo dõi với mã định danh CVE-2026-48172 và đạt điểm số CVSS là 9.8. Về bản chất, đây là một lỗ hổng leo thang đặc quyền (privilege escalation), cho phép kẻ tấn công thực thi các đoạn script tùy ý với quyền root — mức quyền kiểm soát cao nhất trên hệ thống máy chủ.

Chi tiết lỗ hổng và bản vá lỗi

LiteSpeed đã khắc phục lỗi bảo hiểm này vào tuần trước trong phiên bản 2.4.5 của plugin user-end, đồng thời xác nhận rằng lỗ hổng đã bị khai thác dưới dạng zero-day (tấn công trước khi nhà sản xuất biết đến và vá lỗi). Tuy nhiên, công ty khẳng định rằng plugin WHM của LiteSpeed không chịu ảnh hưởng bởi vấn đề này.

“Lỗ hổng này đang bị khai thác tích cực và gây rủi ro cho tất cả các phiên bản plugin user-end từ v2.3 đến v2.4.4,” đại diện LiteSpeed cảnh báo.

Nhà phát triển cũng cung cấp hướng dẫn cụ thể cho người dùng để kiểm tra xem máy chủ của họ có bị ảnh hưởng hay không, đồng thời khuyến nghị hành động ngay lập tức nếu phát hiện dấu hiệu bị khai thác.

LiteSpeed đưa ra lời khuyên: “Chúng tôi khuyến nghị bạn kiểm tra danh sách địa chỉ IP, xác định xem chúng có hợp lệ hay không, và nếu không, hãy chặn chúng. Để xác định thiệt hại, hãy kiểm tra nhật ký hệ thống (system logs) để xem các hành động được thực hiện bởi các IP đã phát hiện.”

Security

Hướng dẫn khắc phục cho người dùng

Để bảo vệ hệ thống, người dùng cần nâng cấp lên LiteSpeed WHM Plugin phiên bản 5.3.1.0 (được đóng gói sẵn cùng với plugin user-end phiên bản 2.4.7) hoặc các phiên bản mới hơn. Các bản cập nhật này đã chứa bản vá cho lỗ hổng nói trên.

Trong trường hợp không thể thực hiện việc vá lỗi ngay lập tức, người dùng được khuyên nên gỡ bỏ hoàn toàn plugin khỏi hệ thống để giảm thiểu rủi ro.

Ngày 19 tháng 5, cPanel đã tung ra một bản cập nhật hàng đêm (nightly update) tự động gỡ bỏ plugin LiteSpeed user-end khỏi tất cả các phiên bản cPanel. Hành động này nhấn mạnh mức độ nghiêm trọng của lỗ hổng CVE, cho phép kẻ tấn công có được quyền truy cập root trái phép vào máy chủ.

Yêu cầu từ CISA

Vào thứ Ba, CISA đã chính thức thêm CVE-2026-48172 vào danh mục Known Exploited Vulnerabilities (KEV) — danh sách các lỗ hổng đang bị khai thác. Cơ quan này yêu cầu các cơ quan liên bang phải vá lỗi hoặc gỡ bỏ các phiên bản plugin dễ bị tổn thương trước ngày 29 tháng 5, tuân thủ theo hướng dẫn của Binding Operational Directive (BOD) 22-01.

Đây là một lỗ hổng nguy hiểm, đặc biệt đối với các quản trị viên hệ thống sử dụng cPanel và LiteSpeed. Việc chậm trễ trong cập nhật có thể dẫn đến việc bị tấn công chiếm quyền kiểm soát toàn bộ máy chủ.