در یک خبر مهم برای جامعه میزبانی وب، شرکت امنیتی WatchtowR اخیراً یک آسیبپذیری بحرانی از نوع روز صفر (Zero-Day) را در پنل مدیریت هاست محبوب cPanel کشف کرده است. این آسیبپذیری به مهاجمان اجازه میدهد بدون نیاز به رمز عبور، به پنل مدیریت، دیتابیسها و تنظیمات سرور نفوذ کنند.
همزمان با این گزارش، آسیبپذیریهای جدی دیگری نیز در کرنل لینوکس شناسایی شدهاند که میتوانند منجر به ارتقای دسترسی از یک کاربر عادی به سطح Root شوند. در این گزارش، جزئیات فنی این تهدیدات، نسخههای آسیبپذیر و راهکارهای فوری برای محافظت از سرورهای هاستینگ ارائه میشود.
آسیبپذیری بحرانی در cPanel (CVE-2026-41940)
مهمترین بخش این خبر، شناسایی باگ CVE-2026-41940 با امتیاز خطر 9.8 از 10 (بحرانی) است.
ماهیت حمله چیست؟
این باگ ناشی از نقص در سیستم پردازش نشستها (Sessions) در cPanel است. مهاجمان با دستکاری کوکیها میتوانند سد احراز هویت را دور زده و بدون نیاز به لاگین به تمام تنظیمات سرور دسترسی پیدا کنند.
کدام نسخهها آسیبپذیر هستند؟
بر اساس اعلام رسمی cPanel، تمام نسخههای زیر پیش از ارائه پچ امنیتی، دارای این آسیبپذیری هستند:
- 11.86.0.41
- 11.110.0.97
- 11.118.0.63
- 11.126.0.54
- 11.130.0.19
- 11.132.0.29
- 11.136.0.5
- 11.134.0.20
نکته: شرکت Cloudflare نیز برای سایتهایی که از CDN این شرکت استفاده میکنند، اقداماتی موقت را در سمت سرورهای خود برای جلوگیری از سوءاستفاده از این باگ تا زمان آپدیت سرورهای مقصد، اعمال کرده است.
با توجه به اینکه cPanel توسط میلیونها وبسایت، از جمله بسیاری از هاستهای ایرانی، استفاده میشود، خطر نفوذ به دادههای کاربران بسیار بالاست. متأسفانه به دلیل قطعیهای اینترنتی گاهبهگاه، برخی از هاستینگها ممکن است در آپدیت سریعتر دچار تأخیر شوند که ریسک حمله را افزایش میدهد.
آسیبپذیریهای لایه کرنل لینوکس
علاوه بر پنل مدیریت، بردارهای حمله جدیدی در لایه کرنل شناسایی شدهاند که ریسک عملیاتی بالایی در محیطهای میزبانی چندکاربره (Shared Hosting) ایجاد میکنند.
1. زیرسیستم Crypto (AF_ALG / algif_aead)
در برخی نسخههای کرنل، خطاهای مدیریت حافظه (Use-After-Free / Race Condition) در رابط AF_ALG مشاهده شده است. این خطاها امکان Privilege Escalation (ارتقای سطح دسترسی) از یک کاربر عادی به سطح Root را فراهم میکنند.
در این حمله مهاجم با ایجاد سوکت AF_ALG از فضای کاربر، مسیرهای AEAD را تحریک کرده و به یک write-primitive در کرنل دست مییابد.
2. خرابی حافظه در مسیرهای شبکه/فایلسیستم
نقصهایی در مسیرهای کمتر استفادهشده (Edge Paths) شناسایی شده که با ورودیهای دستکاری شده قابل تحریک هستند و منجر به کرش سیستم یا اجرای کد مخرب در سطح کرنل میشوند.
3. عبور از ایزولاسیون در محیطهای چندکاربره
ترکیب نقصهای کرنل با تنظیمات پیشفرض میتواند به مهاجم اجازه دهد تا از ایزولاسیون بین اکانتهای کاربری فرار کند.
چرا این موضوع برای هاستینگها حیاتی است؟
در سرورهای مبتنی بر CloudLinux:
- کاربران بسیاری روی یک کرنل مشترک هستند.
- یک اکسپلویت (Exploit) از سطح یک اکانت میتواند به کل نود سرور سرایت کند.
- مکانیزمهایی مانند CageFS یا LVE در برابر نقصهای عمیق کرنل بهتنهایی کافی نیستند.
نشانههای سوءاستفاده
- پردازشهای غیرعادی با مبدا
/tmpیا/dev/shm - ایجاد سوکتهای غیرمتعارف (
AF_ALG) توسط یوزرهای عادی - لاگهای خطای کرنل یا OOM (Out of Memory) غیرمعمول
زنجیره حمله محتمل
حملهکنندگان معمولاً از سناریوی زیر برای تسخیر کامل سرور استفاده میکنند:
- دسترسی اولیه از طریق یک حساب کاربری محدود یا وباپلیکیشن آسیبپذیر.
- بهرهبرداری از نقص کرنل (مثلاً
AF_ALG) برای ارتقای سطح دسترسی به روت. - استفاده از ابزارهای کنترلپنل برای تثبیت دسترسی (ایجاد یوزر جدید، کلید SSH یا کرانجاب).
- باز کردن پورتهای مخفی یا ایجاد تونل برای حفظ دسترسی بلندمدت.
اقدامات اصلاحی و راهکارهای فوری
برای مقابله با این تهدیدات، انجام اقدامات فوری زیر توصیه میشود:
1. بروزرسانی سیستمعامل و پنل
مهمترین راه حل، اعمال آخرین پچهای امنیتی است:
- بروزرسانی کامل سیستمعامل و کرنل به آخرین نسخه پایدار توزیع.
- بروزرسانی کامل cPanel از طریق خط فرمان با اجرای دستور زیر:
/scripts/upcp --force- راهاندازی مجدد سرور برای اعمال کرنل جدید با اجرای دستور زیر:
reboot2. اقدامات موقت در صورت عدم امکان آپدیت
اگر به هر دلیلی امکان آپدیت فوری وجود ندارد، اقدامات زیر میتواند ریسک را کاهش دهد:
- غیرفعالسازی ماژول پرریسک AF_ALG با اجرای دستور زیر:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || true- اعمال محدودیتهای دسترسی بر روی پوشههای موقت با اجرای دستورات زیر:
mount -o remount,noexec,nosuid,nodev /tmp
mount -o remount,noexec,nosuid,nodev /var/tmp- محدودسازی دسترسی به سرویسهای مدیریتی: استفاده از فایروال و ACL برای محدود کردن دسترسی به پورتهای مدیریت.
3 سختسازی
برای ارتقای سطح امنیت سرور و کاهش خطر نفوذ در آینده، توصیه میشود قدامات زیر را انجام دهید:
- فعالسازی کامل CageFS/LVE در CloudLinux و بازسازی محیطهای کاربران.
- بررسی و محدودسازی فایلهای
sudoersو کلیدهای SSH. - اعمال اصل حداقل دسترسی (Principle of Least Privilege).
چکلیست تشخیص آلودگی
پس از اعمال آپدیتها، موارد زیر را برای اطمینان از سلامت سرور بررسی کنید:
1. بررسی کاربران با UID=0 (غیر از روت) با اجرای دستور زیر:
awk -F: '($3==0){print}' /etc/passwd2. بررسی دسترسیهای Sudoers با اجرای دستور زیر:
ls -l /etc/sudoers /etc/sudoers.d/3. بررسی پردازشها و مسیرهای اجرایی مشکوک با اجرای دستور زیر:
ps auxf4. بررسی پورتها و سرویسهای باز با اجرای دستور زیر:
ss -tulnp5. جستجوی فایلهای Setuid غیرمنتظره با اجرای دستور زیر:
find / -perm -4000 -type f 2>/dev/null6. بررسی یکپارچگی بستهها (برای سیستمهای مبتنی بر RPM) با اجرای دستور زیر:
rpm -Va7. بررسی لاگهای امنیتی با اجرای دستورات زیر:
tail -n 200 /var/log/secure
tail -n 200 /usr/local/cpanel/logs/login_logجمعبندی
با توجه به ماهیت آسیبپذیریهای کرنل (بهویژه در مسیرهای Crypto/AF_ALG) و همزمانی ضعفها در لایه کنترلپنل، ریسک Privilege Escalation و تسخیر کامل سرور در صورت عدم بروزرسانی بسیار بالاست. اقدام مؤثر، بروزرسانی کامل (Kernel + Control Panel) بههمراه راهاندازی مجدد و سپس انجام چکهای صحت و سختسازی است. اقدامات موقت صرفاً کاهشدهنده ریسک هستند و جایگزین بروزرسانی محسوب نمیشوند.
اگر در زمین هاست میزبانی دارید، تیم فنی ما در حال پایش مداوم وضعیت سرورها و اعمال بهروزرسانیهای امنیتی است تا امنیت دادههای شما تضمین شود. در نهایت اگر دانش فنی کافی برای انجام این کارها را ندارید، میتوانید از پشتیبانی سرو لینوکس زمین استفاده نمایید تا کارشناسان ما در اسرع وقت وضعیت سرور شما را بررسی و ایمنسازی کنند.
