สรุปสั้น

หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ CVE-2026-54420 ในปลั๊กอิน LiteSpeed สำหรับ cPanel เข้าบัญชีช่องโหว่ที่ถูกใช้โจมตีจริง (Known Exploited Vulnerabilities หรือ KEV) โดยกำหนดให้หน่วยงานรัฐบาลกลาง (FCEB) ต้องแพตช์ภายในวันที่ 18 มิถุนายน พ.ศ. 2569 ช่องโหว่นี้มีคะแนน CVSS 8.5 จัดเป็นระดับร้ายแรงสูง เปิดทางให้ผู้โจมตีที่มีสิทธิ์ FTP หรือ web shell access บนเซิร์ฟเวอร์ shared hosting ที่ใช้ CloudLinux หรือ CageFS ยกระดับสิทธิ์เป็น root ผ่านการใช้ symlink ที่ปลั๊กอินจัดการไม่ถูกต้อง

ช่องโหว่นี้ส่งผลกระทบต่อ LiteSpeed cPanel Plugin เวอร์ชันก่อน 2.4.8 (แจกจ่ายผ่าน LiteSpeed WHM Plugin เวอร์ชันก่อน 5.3.2.0) บริษัท Namecheap เป็นผู้แจ้งปัญหานี้ให้ LiteSpeed ทราบเมื่อวันที่ 31 พฤษภาคม พ.ศ. 2569 ปัจจุบัน LiteSpeed ได้เผยแพร่แพตช์เป็น WHM Plugin v5.3.2.1 (พร้อม cPanel Plugin v2.4.8) แล้ว แม้ยังไม่มีรายละเอียดว่าการโจมตีในธรรมชาติเป็นอย่างไร แต่การที่ CISA เพิ่มเข้า KEV ยืนยันว่ามีการโจมตีจริงเกิดขึ้นแล้ว

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 16 มิถุนายน พ.ศ. 2569 ว่า CISA ได้เพิ่มช่องโหว่ CVE-2026-54420 เข้าบัญชี KEV กำหนดให้หน่วยงาน FCEB ต้องติดตั้งแพตช์ภายในวันที่ 18 มิถุนายน พ.ศ. 2569 ช่องโหว่นี้มีคะแนน CVSS 8.5 เป็นปัญหาการยกระดับสิทธิ์ (privilege escalation) ใน LiteSpeed cPanel Plugin เวอร์ชันก่อน 2.4.8 ซึ่งจัดการ symlink ไม่ถูกต้อง ทำให้ผู้ใช้ที่มีสิทธิ์ FTP หรือ web shell access บนเซิร์ฟเวอร์ shared hosting ที่ใช้ CloudLinux หรือ CageFS สามารถยกระดับสิทธิ์เป็น root ได้

บริษัท Namecheap ผู้ให้บริการ hosting รายใหญ่เป็นผู้แจ้งปัญหานี้ให้ LiteSpeed ทราบเมื่อวันที่ 31 พฤษภาคม พ.ศ. 2569 LiteSpeed ได้เผยแพร่คำสั่ง grep สำหรับตรวจสอบว่าเซิร์ฟเวอร์ได้รับผลกระทบหรือไม่ โดยให้ค้นหา pattern ของ generateEcCert และ packageUserSize ในล็อกไฟล์ของ cPanel หากไม่พบผลลัพธ์แสดงว่าเซิร์ฟเวอร์ไม่ได้รับผลกระทบ แต่หากพบ ให้ตรวจสอบเพิ่มเติมว่ามี generateEcCert ตามด้วย packageUserSize สำหรับผู้ใช้เดียวกันทันที (ซึ่ง UI ปกติจะไม่ทำ) และมีการเรียกพร้อมกัน 7-10 ครั้งต่อรอบ (ต่างจาก UI ปกติที่เรียกทีละครั้ง) ผู้ดูแลระบบควรอัปเกรดเป็น LiteSpeed WHM Plugin v5.3.2.1 หรือสูงกว่าโดยเร็ว

รายละเอียดช่องโหว่

CVE-2026-54420 เป็นช่องโหว่ประเภท improper symlink handling ใน LiteSpeed cPanel Plugin เวอร์ชันก่อน 2.4.8 บนเซิร์ฟเวอร์ shared hosting ที่ใช้ CloudLinux หรือ CageFS ระบบ CageFS ถูกออกแบบมาเพื่อแยกผู้ใช้แต่ละรายบนเซิร์ฟเวอร์ shared hosting ไม่ให้เข้าถึงไฟล์ของกันและกัน แต่ช่องโหว่นี้ทำให้ผู้โจมตีที่มีสิทธิ์ FTP หรือ web shell access สามารถสร้าง symlink ที่ชี้ไปยังไฟล์นอก sandbox ของตน และใช้ประโยชน์จากการที่ปลั๊กอิน LiteSpeed จัดการ symlink เหล่านี้อย่างไม่ปลอดภัยเพื่อยกระดับสิทธิ์เป็น root

ตัวบ่งชี้การโจมตีที่ LiteSpeed ระบุ ได้แก่ การเรียก API function generateEcCert ตามด้วย packageUserSize สำหรับผู้ใช้เดียวกันในทันที (ซึ่งไม่ใช่ลำดับที่เกิดจาก UI ปกติ) และมีการเรียกพร้อมกัน 7-10 ครั้งต่อรอบ แพทเทิร์นนี้บ่งชี้การพยายามโจมตีด้วยสคริปต์อัตโนมัติ

ผลกระทบต่อไทย

ประเทศไทยมีเซิร์ฟเวอร์ shared hosting จำนวนมากที่ใช้ cPanel ร่วมกับ LiteSpeed Web Server ซึ่งเป็นที่นิยมเพราะประสิทธิภาพสูงและรองรับ WordPress ได้ดี ผู้ให้บริการ hosting ไทยที่ใช้ CloudLinux/CageFS เพื่อแยกผู้ใช้บนเซิร์ฟเวอร์เดียวกันมีความเสี่ยงโดยตรง เนื่องจากผู้โจมตีที่มี FTP access ของบัญชีใดบัญชีหนึ่งสามารถยกระดับสิทธิ์เป็น root และเข้าถึงข้อมูลของผู้ใช้ทุกรายบนเซิร์ฟเวอร์เดียวกันได้ เว็บไซต์ธุรกิจขนาดเล็กและขนาดกลางที่ใช้ shared hosting เป็นกลุ่มที่ได้รับผลกระทบมากที่สุด

คำแนะนำ

ผู้ให้บริการ hosting และผู้ดูแลเซิร์ฟเวอร์ควรอัปเกรดเป็น LiteSpeed WHM Plugin v5.3.2.1 (พร้อม cPanel Plugin v2.4.8) หรือสูงกว่าโดยทันที และใช้คำสั่ง grep ที่ LiteSpeed แนะนำเพื่อตรวจสอบว่าเซิร์ฟเวอร์เคยถูกโจมตีหรือไม่ หากพบตัวบ่งชี้การโจมตี ควรตรวจสอบล็อกเพิ่มเติมเพื่อประเมินขอบเขตความเสียหาย ทบทวนสิทธิ์ FTP และ web shell access ของผู้ใช้ทุกราย และพิจารณา reset credential ที่อาจถูกเข้าถึงโดยไม่ได้รับอนุญาต

แหล่งอ้างอิง