Thought Leadership
Die US-Sicherheitsbehörde CISA fordert Behörden auf, eine aktiv ausgenutzte Root-Schwachstelle im LiteSpeed cPanel-Plugin innerhalb von drei Tagen zu schließen.
Die US-Sicherheitsbehörde CISA hat US-Bundesbehörden eine Frist von drei Tagen gesetzt, um ihre Server gegen eine aktiv ausgenutzte Sicherheitslücke abzusichern. Betroffen ist das benutzerseitige cPanel-Plugin von LiteSpeed in allen Versionen vor 2.4.8. Die unter der Kennung CVE-2026-54420 geführte Schwachstelle ermöglicht es Angreifern mit bestehendem FTP- oder Web-Shell-Zugriff, ihre Privilegien auf Shared-Hosting-Servern mit CloudLinux oder CageFS bis auf Root-Ebene auszuweiten.
Die Sicherheitslücke basiert auf einer Schwachstelle beim Verfolgen von Unix-Symlinks. Der Entwickler LiteSpeed hatte das Problem Anfang Juni identifiziert und dringende Sicherheitsupdates bereitgestellt. Das benutzerseitige cPanel-Plugin wird zusammen mit dem WHM-Plugin ausgeliefert. Das Unternehmen betonte die Dringlichkeit der Aktualisierung: „Diese Schwachstelle wird aktiv ausgenutzt und stellt ein Risiko für alle Versionen des Endbenutzer-Plugins vor 2.4.8 dar.“
Überprüfung von Servern auf Kompromittierung
Administratoren können betroffene Server mithilfe eines spezifischen Suchbefehls in den Protokolldateien auf mögliche Angriffe überprüfen. Der Hersteller rät zur Nutzung eines Suchbefehls in den Verzeichnissen /usr/local/cpanel/logs/ und /var/cpanel/logs/, um nach verdächtigen API-Aufrufen wie generateEcCert oder packageUserSize zu suchen. LiteSpeed gab hierzu folgende Anweisung heraus:
„Wenn dieser Befehl zu einer Ausgabe führt, wurde die Schwachstelle möglicherweise auf Ihrem Server ausgenutzt. Um den entstandenen Schaden zu ermitteln, untersuchen Sie die Systemprotokolle auf Aktionen, die von den erkannten IPs durchgeführt wurden.“
LiteSpeed
Bereits im vergangenen Monat hatte die CISA vor einer anderen Sicherheitslücke im LiteSpeed cPanel-Plugin gewarnt, die unter der Nummer CVE-2026-48172 registriert ist und unauthentifizierten Angreifern die Ausführung beliebiger Skripte mit Root-Rechten erlaubte.
Dringliche Fristen durch CISA
Die CISA fügte die aktuelle Schwachstelle in ihren Katalog bekanntermaßen ausgenutzter Sicherheitslücken ein. Die Anordnung zur Behebung innerhalb von drei Tagen erfolgt auf Basis der geänderten internen Richtlinie Binding Operational Directive (BOD) 26-04. Diese Richtlinie verpflichtet US-Bundesbehörden, Fehlerbehebungen strikt nach dem realen Ausnutzungsrisiko zu priorisieren. Zu den Bewertungskriterien gehören die Erreichbarkeit des Systems über das Internet, die Möglichkeit automatisierter Massenangriffe sowie das Potenzial zur vollständigen Systemübernahme.
Die Cybersicherheitsbehörde warnte nachdrücklich vor den Gefahren im Netzwerk: „Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyber-Akteure und birgt erhebliche Risiken für Bundesunternehmen.“ Sollten keine Schutzmaßnahmen verfügbar sein, müssen die Behörden den Einsatz des Produkts einstellen.
(red)
