Bu İçerikte Neler Var?
Açık Nasıl Çalışıyor?
cPanel ve WHM yazılımlarında zaman zaman tespit edilen kritik sınıftaki güvenlik açıkları, genellikle iki noktada yoğunlaşır: kimlik doğrulama bypass mekanizmaları ve uzaktan kod çalıştırma (RCE) zafiyetleri. CVE-2026-41940 olarak sınıflandırılan bu türdeki açıklarda saldırgan, WHM'in API katmanındaki yetersiz giriş doğrulamasını kullanarak sunucu üzerinde root yetkisiyle komut çalıştırabiliyor.
Saldırı zinciri oldukça doğrudan: Açık bir porta sahip herhangi bir cPanel sunucusu, özel hazırlanmış bir HTTP isteğiyle hedef alınıyor. Kimlik bilgisi gerekmeden oturum token'ı üretiliyor, ardından sistem dosyalarına yazma erişimi kazanılıyor. Bu erişimle sunucudaki tüm cPanel hesapları, veritabanları, e-posta içerikleri ve SSL sertifikası özel anahtarları tehlikeye giriyor.
CVSS skoru 9.8 (Critical) seviyesindeki bu tür açıklar için saldırı penceresi son derece kısa. Açığın kamuoyuna duyurulmasından sonraki ilk 48 saat, aktif istismar girişimlerinin en yoğun yaşandığı dönem.
Hangi Sürümler Etkileniyor?
cPanel, dört paralel sürüm dalı üzerinden güncelleme yayımlar: RELEASE, CURRENT, EDGE ve STABLE. Bu tür kritik açıklarda genellikle belirli bir sürüm alt sınırı aşağısındaki tüm kurulumlar etkileniyor. Örnek olarak benzer geçmiş vakalar incelendiğinde CVE-2023-29489 gibi saldırıların büyük çoğunluğu otomatik güncellemeyi devre dışı bırakan ya da sürüm güncellemesini ertelemek zorunda kalan sunuculara isabet etti.
Sunucunuzun hangi sürümde çalıştığını öğrenmek için SSH üzerinden şu komutu çalıştırabilirsiniz:
cat /usr/local/cpanel/versionÇıkan sürüm numarasını cPanel resmi sürüm notları sayfasıyla karşılaştırın. Güncel sürümün gerisindeyseniz yama uygulaması öncelikli adımınız olmalı.
Acil Yama ve Güncelleme Adımları
cPanel'in otomatik güncelleme mekanizması varsayılan olarak aktif olsa da birçok yönetici bunu üretim ortamlarında devre dışı bırakıyor. Açık teyit edildiğinde aşağıdaki adımları sırayla uygulayın:
1. Anlık güncelleme başlatın:
/scripts/upcp --force2. Güncelleme tamamlandıktan sonra sürümü doğrulayın:
cat /usr/local/cpanel/version3. WHM servislerini yeniden başlatın:
Cloud Sunucu Fırsatlarını Kaçırmayın!
Ödeme sistemleri, entegrasyonlar ve dijital çözümler hakkında güncel içerikleri kaçırmayın.
İncele/scripts/restartsrv_cpsrvdGüncelleme şu an mümkün değilse geçici önlem olarak WHM API erişimini güvenilir IP adreslerine kısıtlayın. WHM > Host Access Control bölümünden 2087 ve 2083 portlarına yalnızca tanımlı IP bloklarından izin verin.
Güvenlik Katmanlarını Güçlendirin
Yama uygulamak tek başına yeterli değil. cPanel sunucularında savunma derinliği oluşturmak için aşağıdaki tablo bir başlangıç kontrol listesi niteliğinde kullanılabilir:
| Önlem | Nerede Yapılır | Öncelik |
|---|---|---|
| WHM ve cPanel için iki faktörlü doğrulama (2FA) | WHM > Security Center > Two-Factor Authentication | Kritik |
| ModSecurity WAF aktifleştirme | WHM > ModSecurity Vendors | Yüksek |
| CSF (ConfigServer Security & Firewall) kurulumu | SSH > csf -x / csf -e | Yüksek |
| cPHulk brute-force koruması | WHM > Security Center > cPHulk | Orta |
| SSL/TLS versiyonu (TLSv1.2 minimum) | WHM > Apache Configuration > SSL/TLS | Orta |
| Root SSH girişini devre dışı bırakma | /etc/ssh/sshd_config - PermitRootLogin no | Kritik |
| WHM portlarını IP kısıtlamasına alma | WHM > Host Access Control | Kritik |
ModSecurity için OWASP Core Rule Set (CRS) eklemenizi de öneririm. WHM'in varsayılan kural seti birçok yaygın vektörü kapsar ancak CRS, uygulama katmanı saldırılarında çok daha kapsamlı koruma sağlar.
Saldırı İzlerini Nasıl Tespit Edersiniz?
Sunucunuzun bu açık üzerinden istismar edilip edilmediğini anlamak için ilk bakılacak yer cPanel erişim logları. Aşağıdaki komutla son 1000 log satırındaki olağandışı API isteklerini süzebilirsiniz:
grep -i "cpsrvd" /usr/local/cpanel/logs/access_log | tail -1000 | grep -E "(POST|PUT).*(json_api|execute)"Tanımadığınız IP adreslerinden gelen yüksek frekanslı API istekleri, başarısız kimlik doğrulama denemeleri veya bilmediğiniz bir hesap oluşturulması bunların herhangi biri aktif saldırı belirtisi. Bu durumda CSF ile söz konusu IP'leri bloke edin ve cPanel hesap loglarını tarihsel olarak inceleyin.
Sunucunuzda root yetkisiz değişiklik izleme aktif değilse AIDE (Advanced Intrusion Detection Environment) kurulumu yapmayı düşünün. Kritik sistem dosyalarındaki değişiklikleri otomatik olarak raporlar.
Webimonline ile Sunucu Güvenliği
Webimonline, 2011'den bu yana yüzlerce işletmeye cloud ve dedicated sunucu altyapısı kuruyor. cPanel/WHM güvenliği, yama yönetimi, güvenlik duvarı yapılandırması ve 7/24 sunucu izleme konularında sahada birikmiş teknik bilgiyle çalışıyoruz. Kritik güvenlik açıklarında müşterilerimize 15 dakika içinde müdahale ediyoruz bunu vaat değil, SLA taahhüdü olarak veriyoruz.
- cPanel/WHM kurulum, güncelleme ve güvenlik sertleştirmesi
- ModSecurity, CSF ve cPHulk yapılandırması ile aktif izleme
- 7/24 teknik destek ve anlık güvenlik müdahalesi
- Güncel yama yönetimi ve otomatik güncelleme politikası
Webimonline yönetilen sunucu hizmetleri hakkında bilgi alın ya da doğrudan ekibimize ulaşın: 0850 305 21 71 · info@webimonline.com · iletişim formu