Tuần lễ đen của cPanel: 3 lỗ hổng mới được vá sau cuộc tấn công mã độc tống tiền vào 44.000 máy chủ

Nếu bạn đang vận hành máy chủ sử dụng cPanel hoặc WHM, bạn cần chú ý kỹ đến thông tin này.

Vào ngày 8 tháng 5 năm 2026 — chỉ mười ngày sau khi lỗ hổng CVE-2026-41940 của cPanel bị khai thác để xâm nhập 44.000 máy chủ lưu trữ web và triển khai mã độc tống tiền — cPanel đã âm thầm phát hành bản vá bảo mật khẩn cấp thứ hai. Bản vá này khắc phục ba lỗ hổng mới: CVE-2026-29201, CVE-2026-29202 và CVE-2026-29203.

Trong số này, hai lỗ hổng có điểm CVSS là 8.8, xếp chúng vào nhóm mức độ nghiêm trọng cao (High), chỉ thấp hơn mức Phê bình (Critical) một bậc.

Đây là bản Phát hành Bảo mật Kỹ thuật (TSR) thứ hai của cPanel trong vòng 10 ngày. Việc phải phát hành hai bản vá khẩn cấp trong chưa đầy hai tuần là điều bất thường. Thời điểm công bố — ngay sau cuộc tấn công cPanel tồi tệ nhất trong nhiều năm — cho thấy một bức tranh rõ ràng: sự cố ransomware đã kích hoạt một cuộc kiểm toán mã nguồn sâu hơn, và cuộc kiểm toán đó đã phát hiện ra nhiều vấn đề hơn.

Chi tiết các lỗ hổng mới

Trước khi đi sâu vào chi tiết kỹ thuật, cần lưu ý rằng cPanel sử dụng quy trình chuẩn gọi là Phát hành Bảo mật Kỹ thuật (TSR) khi một bản vá bảo mật sẵn sàng. cPanel thông báo trước cho khách hàng đã đăng ký để họ có thể chuẩn bị kế hoạch cập nhật. Các số CVE được đặt trước qua MITRE, nhưng chi tiết kỹ thuật đầy đủ được giữ kín cho đến khi bản vá được tung ra để ngăn chặn việc khai thác trước khi có bản sửa lỗi.

Dưới đây là phân tích chi tiết về ba lỗ hổng vừa được vá:

CVE-2026-29201: Đọc tệp tùy ý (Arbitrary File Read)

• Vấn đề: Xác thực đầu vào không đủ của tên tệp tính năng trong lệnh gọi feature::LOADFEATUREFILE adminbin, dẫn đến việc đọc tệp tùy ý.
• Thực tế: Một kẻ tấn công đã xác thực có thể thao túng tham số tên tệp tính năng để đọc các tệp trên máy chủ lưu trữ mà chúng không được phép truy cập. Mặc dù điều này không cấp quyền truy cập root trực tiếp, nhưng thông tin thu thập được — tệp cấu hình, thông tin đăng nhập, đường dẫn hệ thống — có thể được sử dụng để chuẩn bị cho các cuộc tấn công tiếp theo gây thiệt hại lớn hơn.
• Mức độ: Trung bình (CVSS 4.3). Mức độ khẩn cấp thấp hơn các lỗi khác, nhưng vẫn đáng để vá ngay lập tức trong bối cảnh đe dọa hiện tại.

CVE-2026-29202: Thực thi mã Perl tùy ý

• Vấn đề: Xác thực đầu vào không đủ của tham số plugin trong lệnh gọi API create_user, dẫn đến việc thực thi mã Perl tùy ý thay cho người dùng hệ thống của tài khoản đã xác thực.
• Thực tế: Đây là lỗ hổng nguy hiểm nhất trong số ba. Một người dùng đã xác thực — có thể là bất kỳ tài khoản nào trên máy chủ dùng chung (shared server) — có thể chèn mã Perl tùy ý thông qua API create_user. Mã Perl chạy trong ngữ cảnh của cPanel có quyền truy cập cấp hệ thống đáng kể. Trên máy chủ dùng chung, điều này có thể cho phép một người thuê (tenant) chạy mã ảnh hưởng đến toàn bộ máy chủ.
• Mức độ: Cao (CVSS 8.8). Yêu cầu xác thực, nhưng trên máy chủ dùng chung, rào cản này rất thấp — bất kỳ tài khoản nào cũng đủ.

CVE-2026-29203: Xử lý symlink không an toàn

• Vấn đề: Lỗ hổng xử lý symlink không an toàn cho phép người dùng sửa đổi quyền truy cập của một tệp tùy ý bằng cách sử dụng chmod, dẫn đến từ chối dịch vụ hoặc có thể leo thang đặc quyền.
• Thực tế: Bằng cách tạo một symlink trỏ đến một tệp hệ thống nhạy cảm và kích hoạt thao tác chmod thông qua cPanel, kẻ tấn công có thể thay đổi quyền trên các tệp mà chúng không nên chạm vào. Điều này có thể dẫn đến leo thang đặc quyền hoặc từ chối dịch vụ nếu các tệp hệ thống trở nên không thể truy cập được.
• Mức độ: Cao (CVSS 8.8). Khi kết hợp với CVE-2026-29202, hai lỗi này có thể được xâu chuỗi lại: thực thi mã để tạo symlink, sau đó sử dụng leo thang chmod để có quyền truy cập sâu hơn.

Bối cảnh: Cuộc tấn công ransomware "Sorry"

Để hiểu tại sao ba bản vá này lại quan trọng hơn mức độ điểm CVSS của chúng gợi ý, chúng ta cần nhìn vào những gì đã xảy ra trong mười ngày trước đó.

Vào ngày 28 tháng 4 năm 2026, cPanel đã phát hành bản vá khẩn cấp cho CVE-2026-41940 — một lỗ hổng bỏ qua xác thực có điểm CVSS 9.8 cho phép kẻ tấn công từ xa chưa được xác thực có quyền truy cập quản trị vào cPanel và WHM. Lỗi này đã bị khai thác tích cực dưới dạng zero-day với các nỗ lực khai thác bắt đầu từ cuối tháng 2 năm 2026 — nghĩa là kẻ tấn công đã có khởi đầu khoảng hai tháng trước khi có bản sửa lỗi.

Hậu quả là ngay lập tức và nghiêm trọng. Ít nhất 44.000 địa chỉ IP chạy cPanel đã bị xâm phạm trong các cuộc tấn công đang diễn ra. Những tin tặc đã khai thác lỗi này để xâm nhập máy chủ và triển khai một trình mã hóa Linux dựa trên ngôn ngữ Go cho một biến thể ransomware gọi là "Sorry".

Việc phải phát hành hai bản TSR khẩn cấp trong cửa sổ 10 ngày phản ánh những gì các nhóm bảo mật nhận ra là một chu trình khắc phục tập trung: một bản vá quan trọng ban đầu kích hoạt việc kiểm toán sâu hơn các đường dẫn mã lân cận, và cuộc kiểm toán đó làm nổi bật các vấn đề bổ sung trước đây chưa được phát hiện hoặc bị hạ thấp ưu tiên.

Nói cách khác: việc phát hiện ra CVE-2026-29201, 29202 và 29203 ngay sau CVE-2026-41940 không phải là xui xẻo. Đó là kết quả của việc cPanel kiểm toán mã của họ dưới áp lực — và tìm thấy nhiều vấn đề hơn. Có thể sẽ có nhiều thông báo khác trong tương lai.

Các bước hành động khuyến nghị

Nếu bạn đang vận hành máy chủ cPanel, bạn cần thực hiện các bước sau ngay lập tức:

1. Cập nhật ngay: Chạy lệnh sau từ dòng lệnh với tư cách là root sau 12:00 EST ngày 8 tháng 5 để kéo TSR mới nhất thông qua cơ chế tầng tiêu chuẩn của cPanel.

   /usr/local/cpanel/scripts/upcp
   

   Nếu tính năng cập nhật tự động bị tắt hoặc bạn đang ở tầng bị ghim (pinned tier), bạn cần xác nhận phiên bản khớp với bản phát hành đã được vá trong danh sách cố vấn bảo mật chính thức của cPanel.

2. Điều tra pháp y (Forensics): Nếu máy chủ của bạn đang chạy phiên bản cPanel chưa được vá trong khoảng thời gian từ cuối tháng 2 đến ngày 28 tháng 4, bạn nên coi nó là đã bị xâm phạm tiềm năng và điều tra, không chỉ đơn thuần là vá lỗi.

   Các bước điều tra pháp lý được khuyến nghị bao gồm:

   • Kiểm tra nhật ký truy cập theo dõi từ ngày 23 tháng 2 năm 2026 — xem xét /usr/local/cpanel/logs/access_log và /usr/local/cpanel/logs/login_log để tìm các mẫu xác thực phiên bất thường bắt nguồn từ địa chỉ IP không mong muốn.
   • Chạy quét đệ quy các thư mục home của người dùng để tìm các tệp có phần mở rộng .sorry. Sự hiện diện của các tệp .sorry xác nhận việc triển khai ransomware và yêu cầu phản ứng sự cố đầy đủ, không chỉ vá lỗi.

Xu hướng bảo mật rộng hơn

Những gì đang xảy ra với cPanel hiện nay là một phần của xu hướng rộng hơn ảnh hưởng đến toàn bộ cảnh quan bảo mật lưu trữ web.

Ba trong số các lỗ hổng kernel Linux nổi bật nhất trong nhiều năm — Copy Fail (CVE-2026-31431) và Dirty Frag (CVE-2026-43284/43500) — đã được công bố trong vòng tám ngày của nhau vào cuối tháng 4 và đầu tháng 5. Cuộc tấn công ransomware cPanel đã phơi bày hơn 44.000 máy chủ. Và hiện tại, thêm ba CVE cPanel nữa xuất hiện chỉ vài ngày sau bản vá khẩn cấp đầu tiên.

Sự tập trung của các thông báo này không phải là ngẫu nhiên. Nghiên cứu bảo mật được hỗ trợ bởi AI đang tìm ra các lỗ hổng nhanh hơn so với khả năng xử lý của các quy trình công bố phối hợp. Khoảng thời gian giữa lúc một lỗ hổng trở nên được biết đến với kẻ tấn công và lúc bị khai thác trong môi trường sản xuất đang thu hẹp từ vài tuần xuống còn vài ngày. Trong trường hợp của CVE-2026-41940, việc khai thác đã bắt đầu vài tháng trước khi có bản vá.

Đối với bất kỳ ai vận hành máy chủ cPanel, tác vụ vận hành là trực tiếp: cập nhật tự động phải được bật, xác minh bản vá phải là một phần trong danh sách kiểm tra bảo trì của bạn, và việc xem xét nhật ký sau mỗi sự cố lớn không còn là tùy chọn nữa.