cpanel'deki kritik açık silahlandırılmış, devlet ve msp ağları hedefte

arkadaşlar, cpanel’de geçenlerde açıklanan kritik açık şimdi aktif olarak sömürülüyor. ctrl-alt-intel’in 2 mayıs’ta tespit ettiğine göre, güneydoğu asya’daki devlet ve askeri kurumlar hedef alınmış. bir de filipinler, laos, kanada, güney afrika ve abd’deki msp’ler (yönetilen hizmet sağlayıcılar) ve hosting firmaları vurulmuş.

spoiler: bu saldırıları daha önce bilinmeyen bir tehdit aktörü gerçekleştiriyor, yani yeni bir oyuncu sahada.

ne oluyor burada

cpanel’deki bu açık, saldırganlara sunucularda uzaktan kod çalıştırma (rce) imkanı veriyor. yani sunucuya giriş yapıp ne isterlerse onu yapabiliyorlar. özellikle devlet kurumları ve hosting sağlayıcılar hedef seçilmiş, ki bunlar kritik altyapılar.

cvss skoru: henüz tam olarak açıklanmamış ama “kritik” seviyede olduğu belirtiliyor, yani 9.0+ civarı bir şey olması lazım 🔴

saldırı vektörü: uzaktan, kimlik doğrulama gerekmeden istismar edilebiliyor. yani internete açık cpanel varsa risk altındasınız.

etkilenen sistemler

ne yapmanız lazım

agalar, cpanel kullanıyorsanız acil acil güncelleme yapın. bu iş şakaya gelmez, özellikle hosting veya msp işindeyseniz.

1. önce versiyonunuzu kontrol edin

# cpanel versiyonunu öğrenmek için
/usr/local/cpanel/cpanel -V

# veya whm'den
cat /usr/local/cpanel/version

2. güncellemeyi hemen yapın

# cpanel güncelleme komutu
/scripts/upcp --force

# güncelleme sonrası servisleri restart edin
/scripts/restartsrv_httpd
/scripts/restartsrv_cpanel

dikkat: yedek almadan bu işe girişmeyin. önce test ortamında deneyin, sonra production’a geçin.

3. logları kontrol edin

# şüpheli aktivite var mı diye bakın
grep -i "exploit\|attack\|unauthorized" /usr/local/cpanel/logs/error_log

# apache loglarına da göz atın
tail -f /usr/local/apache/logs/error_log

geçici çözümler (acil durumda)

yamayı hemen uygulayamıyorsanız şunları yapın:

1. cpanel erişimini kısıtlayın:

# sadece belirli ip'lerden erişime izin verin
# /etc/csf/csf.allow dosyasına güvenli ip'leri ekleyin
echo "GÜVEN_IP_ADRESINIZ" >> /etc/csf/csf.allow
csf -r

2. waf kuralları ekleyin:

• modsecurity aktifse, cpanel’e yönelik şüpheli istekleri engelleyin
• rate limiting uygulayın

3. monitoring’i artırın:

# anlık log takibi
tail -f /usr/local/cpanel/logs/access_log | grep -i "POST\|exploit"

kimler risk altında

özellikle şu arkadaşlar dikkat etsin:

• hosting firmaları (çok sayıda müşteri hesabı varsa risk katlanıyor)
• msp’ler (birden fazla müşteri altyapısı yönetiyorsanız)
• devlet kurumları (özellikle güneydoğu asya’da)
• cpanel whm kullanan herkes

edit: ctrl-alt-intel’in raporuna göre saldırgan, sömürü sonrası ağda lateral movement (yanal hareket) yapıyor, yani bir sunucudan diğerine geçiş yapabiliyor. o yüzden network segmentasyonunuzu da gözden geçirin.

ek öneriler

• iki faktörlü kimlik doğrulama: cpanel/whm’de 2fa aktif değilse hemen açın
• güçlü parolalar: varsayılan veya zayıf parolalarla çalışmayın
• gereksiz servisleri kapatın: kullanmadığınız cpanel özelliklerini devre dışı bırakın
• firewall kuralları: sadece gerekli portları açık tutun (2083, 2087 vs.)

# firewall'da sadece belirli ip'lere cpanel portlarını açın
iptables -A INPUT -p tcp --dport 2087 -s GÜVENLI_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 2087 -j DROP

kaynaklar

• Orijinal haber - The Hacker News
• cPanel resmi güvenlik bildirimi
• Ctrl-Alt-Intel raporu

sonuç olarak: agalar, cpanel kullanıyorsanız bu hafta sonu mesai var demektir. hemen güncelleyin, logları inceleyin, gerekli önlemleri alın. özellikle msp ve hosting tarafındaysanız müşterilerinizi de bilgilendirin. bu iş ertelenecek iş değil, aktif sömürü var ortada.

spoiler: güneydoğu asya’daki saldırılar organize ve hedefli görünüyor, yani rastgele tarama değil bu. devlet kurumları hedefte olunca işin ciddiyeti artıyor.

yedeklerinizi alın, güncellemelerinizi yapın, sonra rahat rahat uyuyun.

Bu içerik yapay zeka tarafından oluşturulmuştur.