رفع آسیب‌پذیری بحرانی cPanel

در روزهای اخیر یکی از بحرانی‌ترین آسیب‌پذیری‌های تاریخ صنعت میزبانی وب با شناسه CVE-2026-41940 در نرم‌افزار cPanel و WHM افشا شد. این آسیب‌پذیری با امتیاز ۹.۸ از ۱۰ در سیستم CVSS، توسط CISA در فهرست آسیب‌پذیری‌های فعالانه در حال بهره‌برداری قرار گرفت و میلیون‌ها وب‌سایت در سراسر جهان را در معرض تهدید جدی قرار داد. تا این لحظه، بیش از ۴۴,۰۰۰ آدرس IP در حال اسکن و اکسپلویت بوده‌اند و گزارش‌های متعددی از رمزگذاری سرورهای آسیب‌دیده توسط باج‌افزار مبتنی بر Go (با پسوند .sorry) منتشر شده است.

واکنش هاستینگ گیسو

از همان لحظه نخست انتشار خبر، مسئول زیرساخت فنی هاستینگ گیسو وارد عمل شد. تمامی سرورهای cPanel بلافاصله ایزوله شدند و پورت‌های خطرناک شامل ۲۰۸۲، ۲۰۸۳، ۲۰۸۶، ۲۰۸۷، ۲۰۹۵ و ۲۰۹۶ در سطح فایروال مسدود شدند. اسکریپت رسمی تشخیص cPanel روی همه سرورها اجرا شد، سشن‌های مشکوک در مسیر /var/cpanel/sessions/raw/ به‌دقت بررسی و لاگ‌های cpsrvd تحلیل شدند. به‌محض انتشار رسمی پچ توسط cPanel، نسخه ۱۱.۱۳۶.۰.۵ روی تمامی سرورها اعمال و سرویس cpsrvd بازنشانی شد. در نهایت ممیزی کامل کلیدهای SSH، کرون‌جاب‌ها و توکن‌های API نیز انجام شد.

نتیجه

در حالی که بسیاری از ارائه‌دهندگان بزرگ داخلی و خارجی ساعت‌ها سرویس مشتریان خود را قطع کردند و برخی شاهد رمزگذاری داده‌های کاربرانشان توسط مهاجمان شدند، در زیرساخت هاستینگ گیسو حتی یک مورد نشانه نفوذ مشاهده نشد، هیچ سروری مورد نفوذ قرار نگرفت و هیچ داده‌ای از مشتریان به سرقت نرفت. این نتیجه، حاصل سرعت عمل و رویکرد امنیت‌محور تیم ماست.

توضیح فنی آسیب‌پذیری

این آسیب‌پذیری از نوع Authentication Bypass و ناشی از CRLF Injection در فرآیند بارگذاری و ذخیره‌سازی سشن است. سرویس cpsrvd پیش از انجام احراز هویت، یک فایل سشن در دیسک ایجاد می‌کرد و ورودی کنترل‌شده توسط کاربر از طریق هدر Authorization بدون پاک‌سازی مناسب در آن نوشته می‌شد. مهاجم با تزریق کاراکترهای کنترلی (Carriage Return و Line Feed) می‌توانست خطوطی به فایل سشن اضافه کند که در پارس مجدد به ورودی‌های سطح بالای سشن تبدیل شوند، شامل user=root، hasroot=1، tfa_verified=1 و یک cp_security_token دلخواه. در درخواست بعدی، بررسی توکن URL پاس می‌شد، چالش رمز عبور به دلیل تایم‌استمپ تزریق‌شده حذف می‌شد، چالش 2FA نادیده گرفته می‌شد و cpsrvd دستور را با دسترسی root اجرا می‌کرد. به زبان ساده، مهاجم بدون داشتن نام کاربری، رمز عبور یا کد دو مرحله‌ای، کنترل کامل سرور را به دست می‌آورد. انتشار عمومی PoC توسط watchTowr Labs باعث شد این حمله ظرف چند ساعت در سطح گسترده اجرا شود.

اقدام احتیاطی فعلی

با وجود این‌که زیرساخت هاستینگ گیسو کاملاً پچ‌شده و امن است، برای اطمینان مضاعف از امنیت کاربران، ارتباط مستقیم بین پنل کاربری هاستینگ گیسو و cPanel موقتاً قطع شده است و امکان ورود مستقیم به cPanel در حال حاضر وجود ندارد. کاربرانی که به دسترسی فوری نیاز دارند می‌توانند از طریق سامانه تیکتینگ درخواست خود را ثبت کنند؛ تیم پشتیبانی پس از احراز هویت، دسترسی را با مسئولیت شخص کاربر فراهم خواهد کرد. این محدودیت موقتی است و به‌محض اطمینان کامل از پایداری وضعیت در سطح اکوسیستم جهانی cPanel، برداشته خواهد شد.

سخن پایانی

در هاستینگ گیسو، امنیت داده‌های شما یک شعار نیست، یک تعهد عملیاتی است. تفاوت میان یک ارائه‌دهنده هاستینگ معمولی و یک ارائه‌دهنده حرفه‌ای، در همین لحظات بحرانی مشخص می‌شود؛ زمانی که میلیون‌ها وب‌سایت در جهان آسیب می‌بینند و ما با افتخار اعلام می‌کنیم یک کاربر هاستینگ گیسو هم در این طوفان آسیب ندید.