בסוף אפריל ותחילת מאי 2026 קיבלנו תזכורת לא נעימה למה משמעת עדכונים היא לא נושא תפעולי, אלא שכבת הגנה. מצד אחד, חולשה קריטית ב cPanel ו WebHost Manager מאפשרת לתוקף לעקוף הזדהות ולקבל גישה מנהלית, עם דיווחים על ניצול בפועל. מצד שני, חולשת Copy Fail בליבת Linux מאפשרת לכל משתמש מקומי להפוך ל root ברוב ההפצות המרכזיות שרצות על קרנלים שנבנו מאז 2017, ויש לה גם הוכחת היתכנות פומבית.
אם אתם מנהלים שרתי אירוח, שרתי אפליקציה, קוברנטיס או ציוד IoT שמריץ Linux, זה לא מאמר לקריאה נעימה. זה צק ליסט לפעולה.
cPanel ו WHM: כשעמוד התחברות הופך לנקודת השתלטות
החולשה שסומנה כ CVE 2026 41940 מאפשרת מעקף הזדהות מרחוק. המשמעות הפרקטית פשוטה: אם ממשק cPanel או WHM שלכם נגיש מהאינטרנט, תוקף לא חייב להתחיל מפישינג או מסיסמה דולפת. לפי היצרן, כל הגרסאות אחרי 11.40 מושפעות.
מה צריך לעשות היום
- לבדוק חשיפה: האם WHM ו cPanel פתוחים לאינטרנט, או מוגבלים ל VPN ו כתובות IP ספציפיות.
- לעדכן לגרסה מתוקנת: לפי היצרן פורסמו גרסאות מתוקנות למספר ענפי הפצה. הרשימה המלאה והעדכנית מופיעה בעדכון הרשמי של cPanel.
- לבדוק שלא נעצתם עדכונים: אם כיביתם עדכונים או נעצתם tier, השרת לא יתעדכן לבד ויישאר חשוף.
- לא להסתפק בעדכון: אחרי התקנה, לוודא גרסת build בפועל ולהפעיל מחדש את שירותי הניהול הרלוונטיים, בדיוק לפי הוראות היצרן.
- אם אי אפשר לעדכן מיד: להפעיל Mitigation זמני, למשל חסימת תעבורה נכנסת לפורטים 2083, 2087, 2095, 2096 באמצעות חומת האש, עד לסגירת הפער.
- לבדוק סימני פגיעה: cPanel פרסמה גם סקריפט בדיקה לאיתור אינדיקציות. זה קריטי במיוחד אם הממשק היה חשוף.
גרסאות מתוקנות שחשוב לזהות אצלכם
- 11.86.0.41
- 11.110.0.97
- 11.118.0.63
- 11.124.0.35
- 11.126.0.54
- 11.130.0.19
- 11.132.0.29
- 11.134.0.20
- 11.136.0.5
טיפ של שטח: אם הממשק היה חשוף לאינטרנט, אל תסתפקו בעדכון. עברו על משתמשי ניהול, חפשו יצירת חשבונות חדשים, בדקו טוקנים והרשאות שלא אמורים להיות שם, ושקלו החלפת סיסמאות למנהלי מערכת והפעלת MFA.
קישורים לעיון: העדכון הרשמי של cPanel, סיכום ההשפעה וההנחיות של Rapid7, וגם דף ה CVE במאגר NVD.
דעה לא פופולרית אבל נכונה: WHM פתוח לעולם בלי הגבלת IP הוא סיכון מיותר.
Copy Fail בליבת Linux: מתקפה מקומית שמתחברת מצוין לחדירה אמיתית
Copy Fail, שסומנה כ CVE 2026 31431, היא חולשת העלאת הרשאות מקומית בליבת Linux. היא לא מאפשרת לתוקף להיכנס מרחוק לבד, אבל ברגע שיש דריסת רגל כלשהי על השרת, משתמש לא מורשה, תהליך שנפרץ, קונטיינר שהצליח להריץ קוד, היא יכולה להפוך את כל השרת ל root.
למה זה משנה לכם? כי דריסת רגל מקומית נוצרת מהר יותר ממה שנוח להודות, במיוחד בשרתים רב דיירים ובסביבות CI CD.
מה אנחנו ממליצים לעשות עכשיו
- לנטר פרסומי הפצה: עדכוני קרנל מגיעים דרך היצרנים. צריך לבדוק הודעות אבטחה של Ubuntu, Red Hat, SUSE, Debian והפצות רלוונטיות נוספות, ולתעדף התקנה על שרתים קריטיים.
- לתכנן ריסטרט: בניגוד לעדכון אפליקטיבי, עדכון קרנל לרוב מחייב אתחול. תכננו חלון תחזוקה מיידי, כי דחייה כאן היא החלטה עסקית מסוכנת.
- Mitigation זמני חכם: אם עדיין אין קרנל מתוקן, אפשר לצמצם סיכון על ידי חסימת יצירת socket מסוג AF_ALG בסביבות קונטיינרים באמצעות מדיניות seccomp, לפי ההנחיות של CERT EU, עד שיגיע עדכון.
- להגן על נקודות כניסה מקומיות: לצמצם משתמשים בעלי shell, להגביל SSH, ולהקשיח סביבת קוברנטיס ו סביבות build שמריצות קוד לא מהימן.
- לזכור IoT: הרבה ציוד תעשייתי, מצלמות, שערים ונתבים מבוססים על Linux. אם אין לכם רשימת נכסים של IoT עם גרסאות ויכולת עדכון, אתם עיוורים.
קישורים לעיון: אזהרת CERT EU, ניתוח והנחיות של Microsoft Security, וגם דף ה CVE במאגר NVD.
איך מנהלים את זה בלי להיכנס לפאניקה
הטעות הנפוצה היא לטפל בכל דבר באותה דחיפות. כאן יש שני מצבים שונים:
- cPanel ו WHM: חשיפה אינטרנטית עם אפשרות מעקף הזדהות. זה טיפול חירום.
- Copy Fail: חולשת העלאת הרשאות מקומית שמסוכנת במיוחד כשיש הרצת קוד לא מהימן. זה טיפול דחוף, עם דגש על שרתים משותפים, קוברנטיס ו CI CD.
אם אתם רוצים להפוך את זה לשיטה ולא לאלתור, תתחילו מהמשמעת. מומלץ לקרוא גם את הפרצה שכבר פרסמתם להאקרים בלי לשים לב ואת ההאקרים כבר בפנים: 6 סימנים שקטים שהעסק שלך מתעלם מהם.
ואם אתם צריכים להפוך את התגובה למשהו מנוהל: ב 010 אנחנו משלבים עדכוני תוכנה ועדכוני אבטחה שוטפים עם SIEM SOC מנוהל כדי שלא תגלו על החולשה רק אחרי שניצלו אותה.
שורה תחתונה: עדכון אבטחה שלא הותקן בזמן הוא לא משימה פתוחה. הוא דלת פתוחה.