آسیب‌پذیری در cPanel
اخبار داخلی میهن وب هاست 10 اردیبهشت 1405 ساعت 15:40

اطلاعیه امنیتی فوری | دو آسیب‌پذیری بحرانی در cPanel و Linux

بر اساس گزارش‌های منتشرشده توسط منابع معتبر از جمله The Hacker News، دو آسیب‌پذیری مهم با سطح ریسک بالا شناسایی شده‌ و تایید شده اند که می‌توانند زیرساخت‌های هاستینگ و سرورهای لینوکسی را تحت تأثیر قرار دهند:

- cPanel & WHM Authentication Bypass

- Linux Kernel Copy Fail (CVE-2026-31431)

شرح فنی

1. cPanel Authentication Bypass

این ضعف در برخی سناریوها امکان عبور از فرآیند احراز هویت را فراهم می‌کند. در صورت سوءاستفاده، مهاجم می‌تواند به سطح مدیریتی دسترسی پیدا کرده و کنترل اکانت‌ها، ایمیل‌ها و داده‌ها را در اختیار بگیرد.

2. Linux Copy Fail

این آسیب‌پذیری در ماژول algif_aead کرنل لینوکس قرار دارد و به کاربر لوکال اجازه می‌دهد دسترسی خود را به root ارتقا دهد. این مورد به‌تنهایی remote نیست، اما در صورت وجود هر نوع دسترسی اولیه (حتی محدود)، می‌تواند منجر به compromise کامل سرور شود.

نکته مهم
ایران اکسس یا محدودسازی جغرافیایی به‌تنهایی کافی نیست. مهاجم می‌تواند از IP داخلی یا سرورهای داخل کشور برای حمله استفاده کند.

وضعیت درهاست های اشتراکی میهن وب هاست

- بروزرسانی کامل cPanel به نسخه‌های امن
- بروزرسانی کرنل سرورها
- سخت سازی مسیرهای احراز هویت
- بررسی و مانیتورینگ لاگ ها

در حال حاضر تمامی سرورهای هاست اشتراکی ایمن‌سازی شده‌اند.

هشدار برای سرورهای مجازی و اختصاصی

این آسیب‌پذیری‌ها به نسخه وابسته هستند، نه نوع لایسنس.
چه لایسنس رسمی داشته باشید چه غیررسمی، در صورت عدم بروزرسانی در معرض ریسک هستید.

اقدامات فوری پیشنهادی

بروزرسانی cPanel:

/scripts/upcp --force

بروزرسانی سیستم عامل:

yum update -y && reboot

یا:

apt update && apt upgrade -y && reboot

غیرفعال‌سازی موقت ماژول آسیب‌پذیر:

modprobe -r algif_aead

در صورت عدم امکان بروزرسانی فوری (راهکار اضطراری):

غیرفعال‌سازی موقت cPanel:

systemctl stop cpanel
systemctl disable cpanel

و محدودسازی دسترسی به پورت‌های مدیریتی:
2083, 2087

بررسی وضعیت

نسخه cPanel:

/usr/local/cpanel/cpanel -V

نسخه کرنل:

uname -r

بررسی ماژول:

lsmod | grep algif_aead

بررسی لاگ‌ها:

grep -i login /usr/local/cpanel/logs/access_log

نکته بسیار مهم برای مدیران سرور

این راهنما یک چارچوب کلی است و برای همه سناریوها کافی نیست. بسته به نوع سیستم‌عامل، نسخه‌ها، کانفیگ‌ها و سطح دسترسی‌ها، ممکن است نیاز به اقدامات تکمیلی وجود داشته باشد.

در صورتی که حتی احتمال نفوذ وجود دارد:

- تمامی نقاط ورودی (SSH، پنل‌ها، سرویس‌ها) باید بازبینی شوند
- لاگ‌های سیستم و سرویس‌ها به‌صورت دقیق تحلیل شوند
- فایل‌های سیستمی و باینری‌ها از نظر تغییرات بررسی شوند
- کرون‌جاب‌ها، یوزرهای غیرمجاز و backdoorها بررسی شوند
- در صورت نیاز، بازسازی امن (rebuild) سرور در نظر گرفته شود

جمع‌بندی

این دو آسیب‌پذیری در صورت بی‌توجهی می‌توانند منجر به دسترسی غیرمجاز و کنترل کامل سرور شوند.
هاست‌های اشتراکی ایمن‌سازی شده‌اند، اما در سرورهای VPS و اختصاصی، مسئولیت مستقیم بر عهده مدیر سرور است.

اگر امکان رفع فوری ندارید:

- cPanel را موقتاً غیرفعال کنید
- ماژول آسیب‌پذیر را حذف نمایید
- دسترسی‌ها را محدود کنید

 پچ تکمیلی (2026/05/02): 

انتشار پچ امنیتی برای آسیب‌پذیری خطرناک Copy Fail در آلما لینوکس

تیم AlmaLinux اعلام کرد که پچ‌های امنیتی مربوط به آسیب‌پذیری بحرانی هسته لینوکس با نام Copy Fail (شناسه CVE-2026-31431) اکنون در مخازن اصلی (Production) در دسترس هستند و کاربران می‌توانند سیستم‌های خود را ایمن کنند.

جزئیات آسیب‌پذیری:

این باگ یک نقص منطقی در زیرسیستم رمزنگاری هسته (crypto subsystem) لینوکس است. این آسیب‌پذیری به هر کاربر محلیِ بدون سطح دسترسی (unprivileged) اجازه می‌دهد تا به راحتی دسترسی خود را به root ارتقا دهد.
طبق گزارش محققان، این اکسپلویت روی تمام توزیع‌های اصلی لینوکس که از سال ۲۰۱۷ به بعد ساخته شده‌اند کار می‌کند و تمامی نسخه‌های پشتیبانی‌شده AlmaLinux نیز تحت تاثیر آن هستند. این موضوع به ویژه برای سرورهای اشتراکی (multi-tenant)، محیط‌های اجرای CI و کانتینرها بسیار حیاتی است.
به دلیل حساسیت بسیار بالای این باگ، تیم آلما لینوکس منتظر آپدیت Red Hat نمانده و پچ‌های امنیتی را مستقیماً بر اساس رفع باگ در نسخه بالادستی (Upstream) آماده و منتشر کرده است.

نحوه بروزرسانی و رفع مشکل:

پچ‌ها اکنون در مخازن اصلی قرار دارند و دیگر نیازی به فعال‌سازی مخازن تست (Testing Repo) نیست. برای ایمن‌سازی سیستم خود، تنها کافیست دستورات زیر را در ترمینال اجرا کنید:

sudo dnf clean metadata && sudo dnf upgrade
sudo reboot

نکته: همگام‌سازی (Sync) اکثر سرورهای Mirror هر ۳ ساعت یک‌بار انجام می‌شود. اگر آپدیت‌ها را هنوز دریافت نکرده اید، یک ساعت دیگر مجدداً تلاش کنید.

نسخه‌های پچ شده (ایمن):

پس از ریبوت، می‌توانید با دستور uname -r بررسی کنید که آیا به نسخه‌های ایمن زیر (یا بالاتر) آپدیت شده‌اید یا خیر:

  • AlmaLinux 8: kernel-4.18.0-553.121.1.el8_10 
  • AlmaLinux 9: kernel-5.14.0-611.49.2.el9_7 
  • AlmaLinux 10: kernel-6.12.0-124.52.2.el10_1 
  • AlmaLinux Kitten 10: kernel-6.12.0-225.el10

توصیه می‌شود در سریع‌ترین زمان ممکن نسبت به بروزرسانی سرورهای خود اقدام نمایید.

انتشار پچ امنیتی آسیب‌پذیری بحرانی Copy Fail برای کلاد لینوکس (CloudLinux)

تیم CloudLinux اعلام کرد که پچ‌های مربوط به آسیب‌پذیری خطرناک ارتقاء دسترسی محلی با نام Copy Fail (شناسه CVE-2026-31431) برای نسخه‌های متاثر منتشر شده است. این آسیب‌پذیری به کاربران عادی اجازه می‌دهد با یک اسکریپت ساده به دسترسی root برسند.
نسخه‌هایی که تحت تاثیر این آسیب پذیری ها هستند:

  • CL7h و CL8: تحت تاثیر هستند (پچ از طریق هسته اختصاصی CloudLinux).
  • CL9 و CL10: تحت تاثیر هستند (پچ از طریق هسته AlmaLinux).
  • نسخه CL7 (معمولی) تحت تاثیر این باگ قرار ندارد.

نحوه بروزرسانی و رفع مشکل

با توجه به نسخه سیستم‌عامل خود، یکی از روش‌های زیر را انجام دهید:

۱. کلاد لینوکس ۹ و ۱۰ (CL9, CL10):

پچ‌ها اکنون در مخازن اصلی (Production) قرار گرفته‌اند و نیازی به مخازن تست نیست. دستورات زیر را اجرا کنید:

sudo dnf clean metadata && sudo dnf upgrade
sudo reboot

۲. کلاد لینوکس ۷ هیبرید و ۸ (CL7h, CL8):

با اجرای دستور زیر، هسته پچ شده (نسخه 4.18.0-553.121.1.lve یا بالاتر) را دریافت کنید:

yum update 'kernel*'
reboot

نکته: در صورتی که آپدیت هنوز به کانال Stable نرسیده است، می‌توانید موقتاً از کانال Beta با اضافه کردن enablerepo=cloudlinux-updates-testing-- برای CL8 یا enablerepo=cl7h_beta-- برای CL7h استفاده کنید.

۳. کاربران سرویس KernelCare (Livepatch):

اگر از KernelCare استفاده می‌کنید، نیازی به ریبوت نیست. پچ‌ها به صورت خودکار دریافت می‌شوند. برای تسریع کار یا دریافت در فید تست می‌توانید از این دستورات استفاده نمایید:

kcarectl --update
kcarectl --info | grep CVE-2026-31431

راهکار موقت (در صورت عدم امکان آپدیت)

اگر در حال حاضر امکان آپدیت هسته را ندارید، باید رابط آسیب‌پذیر algif_aead را از طریق Grubby غیرفعال کنید (نیازمند ریبوت):

sudo grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"
sudo reboot

(پس از آپدیت هسته در آینده، می‌توانید با تغییر args-- به remove-args-- در دستور بالا، این محدودیت را بردارید).

⚠️ هشدار بسیار مهم: راهکار مسدودسازی با modprobe که در برخی سایت‌ها منتشر شده، روی سیستم‌عامل‌های خانواده RHEL (از جمله کلاد لینوکس و آلما لینوکس) کار نمی‌کند؛ زیرا این ماژول درون خود هسته (Built-in) کامپایل شده است و این دستورات تنها احساس امنیت کاذب ایجاد می‌کنند. حتماً از روش آپدیت یا Grubby استفاده کنید.
نکته امنیتی: کاربران سرویس Imunify360 در برابر اکسپلویت‌های شناخته شده این آسیب‌پذیری به صورت خودکار محافظت می‌شوند، اما این موضوع جایگزین نیاز به آپدیت هسته سرور نخواهد بود.

برچسب‌ها:
اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *