CISA Instruksikan Instansi Federal Tambal Celah Kritis pada Plugin cPanel LiteSpeed dalam 4 Hari
Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) memberikan tenggat waktu ketat selama empat hari bagi seluruh instansi federal untuk mengamankan server mereka dari ancaman kerentanan kritis. Celah keamanan ini bersumber dari user-end plugin cPanel milik LiteSpeed yang dilaporkan tengah aktif dieksploitasi dalam berbagai serangan siber di ekosistem digital.
Kerentanan yang dilacak sebagai CVE-2026-48172 tersebut merupakan jenis celah peningkatan hak akses (privilege escalation). Masalah ini dipicu oleh kesalahan penanganan pada fitur aktif/nonaktif komponen Redis, yang ditemukan secara spesifik di dalam fungsi lsws.redisAble.
Secara teknis, kerentanan ini berakar dari kelemahan penetapan hak istimewa yang tidak tepat (incorrect privilege assignment). Celah tersebut memungkinkan penyerang jarak jauh tanpa hak akses khusus (unauthenticated) untuk mengeksekusi skrip berbahaya secara sembarangan (arbitrary scripts) dengan menggunakan hak akses tertinggi atau root privileges pada server target.
Pihak LiteSpeed telah merilis pembaruan keamanan darurat untuk mengatasi kelemahan sistem ini. Mereka mengimbau seluruh pengelola server untuk segera melakukan pembaruan pada komponen user-end plugin cPanelāyang umumnya dibundel bersama dengan plugin WHMāke versi paling mutakhir.
Tim teknis LiteSpeed juga membagikan instruksi perintah khusus bagi para administrator sistem untuk mendeteksi apakah infrastruktur server mereka telah menjadi target atau rentan terhadap eksploitasi CVE-2026-48172. Pemeriksaan dapat dilakukan dengan menjalankan perintah berikut melalui terminal:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
“Kerentanan ini sedang aktif dieksploitasi di luar sana dan membawa risiko tinggi bagi seluruh versi user-end plugin antara versi 2.3 hingga versi 2.4.4,” tulis pernyataan resmi dari tim LiteSpeed. Jika eksekusi perintah di atas menghasilkan keluaran (output) data tertentu, para administrator sangat disarankan untuk memeriksa daftar alamat IP yang muncul, memvalidasi otoritasnya, dan segera memblokir alamat IP yang mencurigakan. Penyelidikan lebih lanjut pada log sistem juga perlu dilakukan guna mengidentifikasi tingkat kerusakan atau aktivitas ilegal yang mungkin sempat dijalankan oleh alamat IP eksternal tersebut.
Mengingat tingginya tingkat bahaya dari serangan ini, CISA langsung memasukkan celah keamanan tersebut ke dalam katalog kerentanan aktif mereka. Berdasarkan mandat koridor Binding Operational Directive (BOD) 22-01, seluruh lembaga federal Amerika Serikat diwajibkan untuk menambal sistem mereka paling lambat pada hari Jumat, 29 Mei tengah malam.
Meski instruksi BOD 22-01 secara hukum hanya mengikat instansi pemerintah federal, CISA mendesak seluruh praktisi keamanan siber dan sektor swasta global untuk memprioritaskan instalasi patch CVE-2026-48172 ini. Otoritas memperingatkan bahwa jenis kerentanan privilege escalation pada panel manajemen web seperti cPanel merupakan vektor serangan yang sangat disukai oleh aktor ancaman siber karena dapat memberikan kendali penuh atas server korporasi maupun infrastruktur awan.
