L’agence américaine de cybersécurité, la Cybersecurity and Infrastructure Security Agency (CISA), a ordonné aux organismes gouvernementaux des États-Unis de sécuriser leurs serveurs dans un délai de trois jours. Cet ordre fait suite à l’exploitation active d’une faille de sécurité, identifiée sous la référence CVE-2026-54420, dans le module complémentaire cPanel pour LiteSpeed.
Cette vulnérabilité, enregistrée sous le code CVE-2026-48172, a été signalée par la société Namecheap. Son niveau de gravité est élevé car elle permet à des attaquants qui disposent d’un accès FTP ou d’un shell web d’élever leurs privilèges pour obtenir un contrôle racine sur les serveurs d’hébergement mutualisé qui exécutent CloudLinux et son système de fichiers CageFS.
Toutes les versions du module complémentaire antérieures à la 2.4.8 sont concernées. La faille provient d’une faiblesse de type UNIX symlink following.
L’entreprise LiteSpeed a indiqué que cette vulnérabilité était exploitée activement dès début juin. Elle a donc publié des mises à jour de sécurité urgentes. LiteSpeed a averti ses utilisateurs qu’ils doivent mettre à jour le module cPanel, qui est fourni avec le plugin WHM, vers la dernière version disponible.
Les utilisateurs peuvent vérifier si leur serveur est vulnérable aux attaques qui ciblent CVE-2026-48172 avec la commande suivante :
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/nullLiteSpeed a précisé que si cette commande retourne un résultat, la faille a pu être exploitée sur le serveur. L’entreprise recommande d’examiner les journaux système pour déterminer les éventuels dommages causés par les adresses IP détectées. Elle a aussi rappelé que cette vulnérabilité fait l’objet d’exploitations actives et qu’elle représente un risque pour toutes les versions du plugin antérieures à la 2.4.8.
Lundi, la CISA a ajouté cette faille à son Known Exploited Vulnerabilities Catalog (KEV). L’agence a ainsi exigé que les agences du pouvoir exécutif fédéral civil sécurisent leurs systèmes dans les trois jours, comme le stipule la directive opérationnelle contraignante Binding Operational Directive (BOD) 26-04.
La BOD 26-04 a été publiée la semaine dernière. Elle remplace les anciennes directives BOD 19-02 et 22-01. Ce texte impose aux agences fédérales américaines de prioriser l’application des correctifs de sécurité en fonction du risque d’exploitation.
Les principaux critères pour évaluer ce risque sont les suivants : la faille figure-t-elle dans le catalogue KEV de la CISA, l’actif est-il exposé publiquement sur Internet, son exploitation peut-elle être automatisée pour des attaques à grande échelle, et une exploitation réussie accorde-t-elle un contrôle partiel ou total du système ciblé aux attaquants.
L’agence de cybersécurité a averti que ce type de vulnérabilité constitue un vecteur d’attaque fréquent pour les acteurs malveillants et qu’il représente un risque important pour l’appareil fédéral. Elle a demandé aux parties prenantes de suivre les directives de la BOD 26-04 pour les services cloud, ou de cesser d’utiliser le produit si aucune mesure d’atténuation n’est disponible. Les responsables doivent évaluer l’exposition à Internet de chaque actif et veiller au respect des directives de correction de la BOD 26-04.
Le mois dernier, la CISA avait déjà mis en garde les agences fédérales contre une autre faille de sécurité dans LiteSpeed cPanel, référencée CVE-2026-48172. Des attaquants non authentifiés l’avaient exploitée pour exécuter des scripts arbitraires avec des privilèges racine.