ถ้าเซิร์ฟเวอร์ของคุณใช้ cPanel และมีปลั๊กอิน LiteSpeed ฝั่งผู้ใช้ติดตั้งอยู่ ข่าวนี้ควรอ่านด่วน เพราะมีรายงานช่องโหว่ระดับรุนแรงที่สุดที่กำลัง “ถูกโจมตีจริง” และอาจทำให้ผู้โจมตีรันสคริปต์ด้วยสิทธิ์สูงสุดของเครื่องได้ทันที
ช่องโหว่นี้คือ CVE-2026-48172 (คะแนนความรุนแรง 10.0) กระทบ LiteSpeed User-End cPanel Plugin โดยทาง LiteSpeed ระบุชัดว่า “ผู้ใช้ cPanel คนไหนก็ตาม (รวมถึงบัญชีที่ถูกยึด) สามารถใช้ฟังก์ชัน lsws.redisAble เพื่อสั่งรันสคริปต์เป็น root ได้” ซึ่งนั่นหมายความว่า ถ้าการแฮกสำเร็จ เครื่องอาจถูกยึดทั้งระบบ
เวอร์ชันที่ได้รับผลกระทบคือปลั๊กอินช่วง 2.3 ถึง 2.4.4 และแก้แล้วใน 2.4.5 (ตามข่าวปลั๊กอิน LiteSpeed’s WHM plugin ระบุว่าไม่ได้รับผลกระทบตามข่าว) โดยผู้ค้นพบคือ David Strydom ทั้งนี้ LiteSpeed บอกว่ากำลังถูกโจมตีจริง แต่ไม่ได้เปิดเผยรายละเอียดเพิ่ม
เพื่อเช็กความผิดปกติเบื้องต้นทาง LiteSpeed แนะนำให้ใช้ “คำสั่งตรวจ log” ไว้ หากรันแล้ว ไม่เจอ ถือว่าไม่น่าโดนเคสนี้ แต่ถ้ามีผลลัพธ์ควรตรวจ IP ในรายการว่าเป็นของจริงหรือไม่ และหากไม่ใช่ให้บล็อกทันที
หลังทบทวนความปลอดภัยเพิ่มเติม LiteSpeed ยังออกชุดอัปเดตใหม่ โดยแนะนำให้ไปใช้ LiteSpeed WHM Plugin 5.3.1.0 ที่พ่วง cPanel plugin v2.4.7 ขึ้นไป เพื่อปิดช่องทางโจมตีทุกช่องทาง และถ้าแพตช์ทันทีไม่ได้ ให้ถอน user-end plugin ออกชั่วคราว
อีกด้านหนึ่ง cPanel เองก็แนะนำให้ “ปิด/ถอด” LiteSpeed User-End Plugin เพื่อลดความเสี่ยง และระบุว่าจะถูกถอดอัตโนมัติในกระบวนการอัปเดตบางรอบด้วย
คำสั่งที่แนะนำ ได้แก่
# ตรวจหาสัญญาณผิดปกติ (IOC)
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
# หากยังแพตช์ไม่ได้ ให้ถอน user-end plugin ชั่วคราว
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
เหตุแบบนี้ย้ำว่าการอัปเดตและดูแลความปลอดภัยของเซิร์ฟเวอร์สำคัญมาก hostatom พร้อมให้บริการสำหรับงานโฮสติ้ง โดยเรามีทีมดูแลด้านความปลอดภัยอย่างต่อเนื่อง ช่วยคุณลดความเสี่ยงจากภัยคุกคามไซเบอร์ได้ในระยะยาว
ดูรายละเอียดเพิ่มเติมได้ที่เว็บไซต์ https://www.hostatom.com/
ที่มา: The Hackers News
