در روزهای اخیر یکی از بحرانیترین آسیبپذیریهای تاریخ صنعت میزبانی وب با شناسه CVE-2026-41940 در نرمافزار cPanel و WHM افشا شد. این آسیبپذیری با امتیاز ۹.۸ از ۱۰ در سیستم CVSS، توسط CISA در فهرست آسیبپذیریهای فعالانه در حال بهرهبرداری قرار گرفت و میلیونها وبسایت در سراسر جهان را در معرض تهدید جدی قرار داد. تا این لحظه، بیش از ۴۴,۰۰۰ آدرس IP در حال اسکن و اکسپلویت بودهاند و گزارشهای متعددی از رمزگذاری سرورهای آسیبدیده توسط باجافزار مبتنی بر Go (با پسوند .sorry) منتشر شده است.
واکنش هاستینگ گیسو
از همان لحظه نخست انتشار خبر، مسئول زیرساخت فنی هاستینگ گیسو وارد عمل شد. تمامی سرورهای cPanel بلافاصله ایزوله شدند و پورتهای خطرناک شامل ۲۰۸۲، ۲۰۸۳، ۲۰۸۶، ۲۰۸۷، ۲۰۹۵ و ۲۰۹۶ در سطح فایروال مسدود شدند. اسکریپت رسمی تشخیص cPanel روی همه سرورها اجرا شد، سشنهای مشکوک در مسیر /var/cpanel/sessions/raw/ بهدقت بررسی و لاگهای cpsrvd تحلیل شدند. بهمحض انتشار رسمی پچ توسط cPanel، نسخه ۱۱.۱۳۶.۰.۵ روی تمامی سرورها اعمال و سرویس cpsrvd بازنشانی شد. در نهایت ممیزی کامل کلیدهای SSH، کرونجابها و توکنهای API نیز انجام شد.
نتیجه
در حالی که بسیاری از ارائهدهندگان بزرگ داخلی و خارجی ساعتها سرویس مشتریان خود را قطع کردند و برخی شاهد رمزگذاری دادههای کاربرانشان توسط مهاجمان شدند، در زیرساخت هاستینگ گیسو حتی یک مورد نشانه نفوذ مشاهده نشد، هیچ سروری مورد نفوذ قرار نگرفت و هیچ دادهای از مشتریان به سرقت نرفت. این نتیجه، حاصل سرعت عمل و رویکرد امنیتمحور تیم ماست.
توضیح فنی آسیبپذیری
این آسیبپذیری از نوع Authentication Bypass و ناشی از CRLF Injection در فرآیند بارگذاری و ذخیرهسازی سشن است. سرویس cpsrvd پیش از انجام احراز هویت، یک فایل سشن در دیسک ایجاد میکرد و ورودی کنترلشده توسط کاربر از طریق هدر Authorization بدون پاکسازی مناسب در آن نوشته میشد. مهاجم با تزریق کاراکترهای کنترلی (Carriage Return و Line Feed) میتوانست خطوطی به فایل سشن اضافه کند که در پارس مجدد به ورودیهای سطح بالای سشن تبدیل شوند، شامل user=root، hasroot=1، tfa_verified=1 و یک cp_security_token دلخواه. در درخواست بعدی، بررسی توکن URL پاس میشد، چالش رمز عبور به دلیل تایماستمپ تزریقشده حذف میشد، چالش 2FA نادیده گرفته میشد و cpsrvd دستور را با دسترسی root اجرا میکرد. به زبان ساده، مهاجم بدون داشتن نام کاربری، رمز عبور یا کد دو مرحلهای، کنترل کامل سرور را به دست میآورد. انتشار عمومی PoC توسط watchTowr Labs باعث شد این حمله ظرف چند ساعت در سطح گسترده اجرا شود.
اقدام احتیاطی فعلی
با وجود اینکه زیرساخت هاستینگ گیسو کاملاً پچشده و امن است، برای اطمینان مضاعف از امنیت کاربران، ارتباط مستقیم بین پنل کاربری هاستینگ گیسو و cPanel موقتاً قطع شده است و امکان ورود مستقیم به cPanel در حال حاضر وجود ندارد. کاربرانی که به دسترسی فوری نیاز دارند میتوانند از طریق سامانه تیکتینگ درخواست خود را ثبت کنند؛ تیم پشتیبانی پس از احراز هویت، دسترسی را با مسئولیت شخص کاربر فراهم خواهد کرد. این محدودیت موقتی است و بهمحض اطمینان کامل از پایداری وضعیت در سطح اکوسیستم جهانی cPanel، برداشته خواهد شد.
سخن پایانی
در هاستینگ گیسو، امنیت دادههای شما یک شعار نیست، یک تعهد عملیاتی است. تفاوت میان یک ارائهدهنده هاستینگ معمولی و یک ارائهدهنده حرفهای، در همین لحظات بحرانی مشخص میشود؛ زمانی که میلیونها وبسایت در جهان آسیب میبینند و ما با افتخار اعلام میکنیم یک کاربر هاستینگ گیسو هم در این طوفان آسیب ندید.
Wednesday, May 6, 2026
