ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามข่าวสารด้านภัยคุกคามทางไซเบอร์ พบรายงานช่องโหว่ร้ายแรงใน LiteSpeed User-End cPanel Plugin ซึ่งถูกนำไปใช้โจมตีจริงแล้ว โดยช่องโหว่อาจทำให้ผู้โจมตีที่มีสิทธิ์เข้าถึงบัญชี cPanel หรือบัญชีที่ถูกยึดครอง สามารถรันสคริปต์ด้วยสิทธิ์ระดับสูงบนเซิร์ฟเวอร์ได้[1]
1. รายละเอียดภัยคุกคาม[2]
ช่องโหว่ CVE-2026-48172 (CVSS 4.0: 10)[3] เป็นช่องโหว่ประเภท Incorrect Privilege Assignment ใน LiteSpeed User-End cPanel Plugin อาจนำไปสู่การยกระดับสิทธิ์ได้ถึงระดับ root หากโจมตีสำเร็จ ผู้โจมตีอาจสามารถรันสคริปต์ด้วยสิทธิ์ระดับสูงบนเซิร์ฟเวอร์ เข้าถึงหรือแก้ไขไฟล์สำคัญ เปลี่ยนแปลงการตั้งค่าระบบ ฝังโค้ดอันตราย หรือใช้เซิร์ฟเวอร์เป็นฐานในการโจมตีต่อได้
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
2.1 LiteSpeed User-End cPanel Plugin เวอร์ชัน 2.3 ถึง 2.4.4
2.2 เซิร์ฟเวอร์ cPanel ที่ติดตั้ง LiteSpeed User-End cPanel Plugin เวอร์ชันที่ได้รับผลกระทบ
3. เวอร์ชันที่แก้ไขแล้ว
– LiteSpeed แนะนำให้ผู้ดูแลระบบอัปเดตเป็น LiteSpeed WHM Plugin v5.3.1.0 หรือใหม่กว่า ซึ่งมาพร้อม cPanel Plugin v2.4.7 หรือใหม่กว่า เพื่อแก้ไขช่องโหว่และลดความเสี่ยงจากช่องทางโจมตีอื่นที่อาจเกี่ยวข้อง
4. แนวทางการแก้ไขและลดความเสี่ยง
4.1 ตรวจสอบเซิร์ฟเวอร์ที่ใช้ cPanel และ LiteSpeed ว่ามี LiteSpeed User-End cPanel Plugin เวอร์ชันที่ได้รับผลกระทบหรือไม่
4.2 อัปเกรดเป็น LiteSpeed WHM Plugin 5.3.1.0 หรือใหม่กว่า ซึ่งมาพร้อม cPanel Plugin เวอร์ชันที่ได้รับการแก้ไขตามคำแนะนำของ LiteSpeed
4.3 หากยังไม่สามารถอัปเดตได้ทันที ให้พิจารณาถอดหรือปิดใช้งาน LiteSpeed User-End cPanel Plugin ชั่วคราวตามคำแนะนำของ LiteSpeed เพื่อลดความเสี่ยงจากการถูกโจมตี
4.4 ตรวจสอบร่องรอยการถูกโจมตีตามแนวทางที่ LiteSpeed เผยแพร่ โดยควรจำกัดการใช้งานรายละเอียดเชิงเทคนิคดังกล่าวเฉพาะทีมผู้ดูแลระบบหรือทีม Incident Response ที่เกี่ยวข้อง
4.5 ตรวจสอบบัญชี cPanel ที่อาจถูกยึดครองหรือมีพฤติกรรมผิดปกติ เช่น การเข้าสู่ระบบจาก IP ที่ไม่คุ้นเคย การสร้างไฟล์สคริปต์ใหม่ การเพิ่ม cron job หรือการเปลี่ยนแปลงการตั้งค่าระบบโดยไม่ได้รับอนุญาต
4.6 จำกัดการเข้าถึง WHM/cPanel เฉพาะ IP ที่เชื่อถือได้ หรือผ่าน VPN ระบบบริหารจัดการที่ปลอดภัย และเปิดใช้งาน MFA สำหรับบัญชีผู้ดูแลระบบหรือบัญชีที่มีสิทธิ์สูง
4.7 หากพบข้อบ่งชี้ว่าระบบอาจถูกยกระดับสิทธิ์หรือถูกเข้าควบคุม ควรแยกระบบออกจากเครือข่ายที่สำคัญ เก็บหลักฐาน ตรวจสอบขอบเขตผลกระทบ และพิจารณากู้คืนหรือ rebuild ระบบจากแหล่งที่เชื่อถือได้
แหล่งอ้างอิง