CISA Keluarkan Peringatan Darurat: Celah Keamanan cPanel LiteSpeed Aktif Dieksploitasi Massal
Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) secara resmi mengeluarkan instruksi darurat kepada seluruh lembaga pemerintah untuk segera mengamankan server mereka. Peringatan ini dipicu oleh temuan eksploitasi aktif di alam liar terhadap celah keamanan berstatus high-severity yang bersarang pada komponen tambahan (plugin) user-end LiteSpeed cPanel.
Kerentanan berbahaya yang dilacak sebagai CVE-2026-54420 (dan berkaitan erat dengan pelacakan paralel CVE-2026-48172) ini awalnya dilaporkan oleh penyedia layanan hosting raksasa Namecheap. Celah ini memberikan karpet merah bagi peretas yang sudah memiliki akses FTP dasar atau akses web shell untuk menaikkan level hak akses mereka secara ilegal menjadi Root (administrator tertinggi) pada server shared hosting yang menjalankan sistem isolasi CloudLinux/CageFS.
Akar Masalah: Kelemahan “UNIX Symlink Following”
Berdasarkan investigasi teknis, kerentanan ini menyerang seluruh versi plugin user-end LiteSpeed sebelum versi 2.4.8. Celah ini berakar dari kelemahan sistem dalam memproses tautan simbolis (UNIX symlink following weakness).
Pihak LiteSpeed mengonfirmasi bahwa penyerang memanfaatkan kelemahan ini sejak awal Juni untuk menjebol dinding pembatas antar-pengguna pada server shared hosting, sehingga satu akun pengguna yang kompromi dapat melompat dan menguasai seluruh isi server utama beserta data milik pengguna lainnya.
Mengingat tingkat bahayanya yang sangat tinggi bagi ekosistem web global, CISA langsung memasukkan celah ini ke dalam katalog kerentanan yang diketahui aktif dieksploitasi (Known Exploited Vulnerabilities Catalog – KEV) dan memberikan tenggat waktu super ketat selama tiga hari bagi lembaga federal untuk melakukan penambalan darurat.
Perintah Deteksi Mandiri bagi Administrator Server
Guna membantu para pemilik server dan tim keamanan TI mengidentifikasi apakah sistem mereka sudah berhasil disusupi oleh peretas sebelum sempat melakukan update, LiteSpeed merilis sebuah instruksi perintah perintah (command) khusus.
Anda dapat menjalankan skrip perintah berikut melalui terminal server dengan hak akses root:
Bash
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null
Catatan Penting Hasil Pemindaian: Jika eksekusi perintah di atas memunculkan baris keluaran (output) teks apa pun pada layar terminal Anda, hal tersebut menandakan ada indikasi kuat bahwa celah keamanan ini telah aktif dieksploitasi pada server Anda.
Jika hal ini terjadi, segera periksa log sistem secara mendalam untuk menganalisis tindakan apa saja yang telah dilakukan oleh alamat-alamat IP asing yang terdeteksi di dalam rekaman tersebut.
Panduan Mitigasi dan Pembaruan Sistem
Karena serangan ini menargetkan infrastruktur web secara otomatis (automated large-scale attacks), mengabaikan pembaruan ini dapat berakibat pada pengambilalihan total kendali server.
Langkah-langkah penanganan yang harus segera dilakukan meliputi:
- Lakukan Update Instan: Perbarui plugin user-end LiteSpeed cPanel Anda (yang biasanya dibundel bersama dengan plugin WHM) ke versi 2.4.8 atau yang paling terbaru.
- Evaluasi Paparan Internet: Sesuai dengan arahan direktif terbaru CISA (BOD 26-04), pemilik aset bertanggung jawab penuh untuk membatasi eksposur publik terhadap panel manajemen sensitif dan memprioritaskan pembaruan berdasarkan risiko otomatisasi serangan. Jika pembaruan belum memungkinkan untuk dilakukan, CISA menyarankan untuk menghentikan sementara penggunaan produk atau layanan awan (cloud services) yang bersangkutan demi memutus rantai serangan.
Ini merupakan pukulan kedua bagi ekosistem cPanel dalam beberapa waktu terakhir, setelah bulan lalu CISA juga sempat mengeluarkan peringatan serupa untuk kerentanan LiteSpeed cPanel lain yang memungkinkan penyerang tanpa autentikasi mengeksekusi skrip arbitrer dengan hak akses root.
Sumber: US Cybersecurity and Infrastructure Security Agency (CISA) KEV Alerts & LiteSpeed Security Incident Report
