{"id":536,"date":"2026-05-04T10:25:33","date_gmt":"2026-05-04T10:25:33","guid":{"rendered":"https:\/\/d-mashina.net\/?p=536"},"modified":"2026-05-04T10:25:33","modified_gmt":"2026-05-04T10:25:33","slug":"copy-fail-in-cpanel-zero-day-sta-pretresla-splet","status":"publish","type":"post","link":"https:\/\/d-mashina.net\/index.php\/2026\/05\/04\/copy-fail-in-cpanel-zero-day-sta-pretresla-splet\/","title":{"rendered":"Copy Fail in cPanel Zero-Day sta pretresla splet"},"content":{"rendered":"

Konec aprila 2026 smo do\u017eiveli dva resna varnostna incidenta hkrati \u2014 ranljivost jedra Linuxa in kriti\u010den obhod avtentikacije v cPanelu. Pojasnimo, kaj se je zgodilo in kaj morate storiti.<\/em><\/p>\n

\u26a0 Obe ranljivosti sta aktivno izkori\u0161\u010dani. \u010ce upravljate Linux stre\u017enike ali cPanel infrastrukturo, ukrepajte takoj.<\/p><\/blockquote>\n

\n

1. Copy Fail (CVE-2026-31431): devet let skrita napaka v jedru Linuxa<\/h2>\n

29. aprila 2026 je varnostna ekipa Theori javno razkrila resno ranljivost v jedru Linuxa, ki je dobila vzdevek Copy Fail<\/strong> in identifikator CVE-2026-31431. Napaka tiho spi v vsakem jedru, zgrajenim od leta 2017 \u2014 to pomeni dobrih devet let neodkrite luknje v sistemih po vsem svetu.<\/p>\n

Kako deluje ranljivost?<\/h3>\n

Napaka se nahaja v modulu algif_aead<\/code>, ki je del kripto API-ja jedra Linuxa (AF_ALG). Logi\u010dna pomanjkljivost napadalcu omogo\u010da, da z neprivilegiranim lokalnim dostopom eskalira pravice do nivoja root<\/code> \u2014 torej pridobi popoln nadzor nad sistemom. Javno dostopen exploit je le 732 vrstic Python kode in deluje zanesljivo na Ubuntu, Amazon Linux, RHEL in SUSE.<\/p>\n

    \n
  • CVSS ocena: 7.8<\/strong> (visoka stopnja)<\/li>\n
  • Prizadeta jedra: vse distribucije od leta 2017<\/li>\n
  • PoC exploit: javno dostopen, 732-vrsti\u010dni Python<\/li>\n
  • Zanimivost: AI sistem ga je odkril v ~1 uri<\/li>\n<\/ul>\n

    Posebnost: ranljivost je odkrila umetna inteligenca<\/h3>\n

    Eden izmed presenetljivej\u0161ih vidikov Copy Fail je na\u010din odkritja. Po navedbah Theorija je AI sistem Xint Code s pregledom kripto podsistema jedra v zgolj eni uri identificiral ranljivost \u2014 brez kodiranja harnesov, le z enim operatorskim pozivom. To nakazuje, da se kraj\u0161ajo \u010dasi odkrivanja resnih ranljivosti in da morajo biti ekipe za upravljanje popravkov hitrej\u0161e kot kadarkoli prej.<\/p>\n

    Poseben primer: CloudLinux in RHEL-based sistemi<\/h3>\n

    Splo\u0161no priporo\u010dilo za bla\u017eitev (onemogo\u010danje modula algif_aead<\/code> prek modprobe.d<\/code>) ne deluje na CloudLinux, AlmaLinux in ostalih distribucijah, ki temeljijo na RHEL. Pri teh je modul vgrajen neposredno v jedro (CONFIG_CRYPTO_USER_API_AEAD=y<\/code>), zato blokiranje ne zaustavi gro\u017enje \u2014 ukazi se izvedejo brez napake, sistem pa ostane ranljiv. Edina prava za\u0161\u010dita je posodobitev jedra.<\/p>\n

    Za\u010dasna ubla\u017eitev (Debian\/Ubuntu):<\/p>\n

    echo \"install algif_aead \/bin\/false\" | sudo tee \/etc\/modprobe.d\/disable-algif.conf\r\nsudo rmmod algif_aead<\/code><\/pre>\n
    Opomba: Na RHEL\/CloudLinux\/AlmaLinux ta ukaz ne deluje. Posodobite jedro.<\/em><\/p>\n
    \n
    2. cPanel Zero-Day (CVE-2026-41940): 64 dni tihe kompromitacije<\/h2>\n
    28. aprila 2026 je cPanel objavil kriti\u010den popravek za ranljivost CVE-2026-41940<\/strong> \u2014 obhod avtentikacije s CVSS oceno 9.8. Stre\u017eniki so bili kompromitirani \u017ee od vsaj 23. februarja 2026, kar pomeni, da je bil zero-day aktivno izkori\u0161\u010dan 64 dni<\/strong> pred katerokoli javno objavo ali popravkom.<\/p>\n
    Kaj je cPanel in zakaj je to tako resno?<\/h3>\n
    cPanel in WHM (WebHost Manager) sta nadzorni plo\u0161\u010di, ki poganjata upravljanje za ocenjenih 70 milijonov domen po vsem svetu. cPanel skrbi za spletna mesta, podatkovne baze, e-po\u0161to in domene posameznih strank, WHM pa daje ponudniku gostovanja korenski (root<\/code>) dostop do stre\u017enika. Kompromitacija enega stre\u017enika pomeni potencialni dostop do vsakega gostovanega spletnega mesta na njem.<\/p>\n
    Tehni\u010dno ozadje: CRLF injekcija v procesu seje<\/h3>\n
    Ranljivost izvira iz nepravilnega ravnanja z vnosom v procesu prijave in nalaganja seje. Storitev cpsrvd<\/code> pred avtentikacijo zapi\u0161e datoteko seje na disk. Napadalec manipulira pi\u0161kotek whostmgrsession<\/code> z izpustitvijo pri\u010dakovanega dela vrednosti, s \u010dimer izni\u010di \u0161ifriranje. Z vbrizgavanjem znakov \\r\\n<\/code> v glavo avtorizacije nato vpi\u0161e poljubne lastnosti \u2014 npr. user=root<\/code> \u2014 ter spro\u017ei ponovni vpis seje za pridobitev skrbni\u0161kega dostopa.<\/p>\n
      \n
    • CVSS ocena: 9.8<\/strong> (kriti\u010dna stopnja)<\/li>\n
    • Izpostavljeni stre\u017eniki: ~1,5 milijona (Shodan)<\/li>\n
    • Zero-day okno: 64 dni (23. februar \u2013 28. april 2026)<\/li>\n
    • Prizadete domene: 70 milijonov+<\/li>\n<\/ul>\n
      Kaj se je dogajalo v ozadju?<\/h3>\n
      Po poro\u010danjih je bila ranljivost prijavljena cPanelu pribli\u017eno dva tedna pred javno objavo \u2014 in cPanel sprva ni priznal, da gre za te\u017eavo. Ko so ponudniki gostovanja (KnownHost, Namecheap, HostPapa, InMotion) dobili obvestilo, so takoj blokirali dostop do vrat 2083, 2086 in 2087. CISA je CVE-2026-41940 dodala v katalog znanih izkori\u0161\u010danih ranljivosti 30. aprila z rokom za odpravo 3. maja 2026 za ameri\u0161ke zvezne agencije.<\/p>\n
      Detekcija znakov kompromitacije<\/h3>\n
      cPanel je objavil zaznavalni skript za iskanje znakov vdora. Poi\u0161\u010dite seje z atributi token_denied<\/code> in cp_security_token<\/code> hkrati ter pred-avtenticirane seje z avtenticiranimi atributi. watchTowr Labs je objavil lasten generator zaznavnih artefaktov.<\/p>\n
      \n
      Kaj storite zdaj<\/h2>\n
      Copy Fail \u2014 Linux jedro<\/h3>\n
        \n
      • Posodobite jedro takoj, ko ponudnik izda popravek<\/li>\n
      • Na Debian\/Ubuntu: onemogo\u010dite modul algif_aead<\/code> kot za\u010dasni ukrep<\/li>\n
      • Na CloudLinux\/RHEL\/AlmaLinux: modprobe metoda ne deluje \u2014 posodobite jedro<\/li>\n
      • Prioriteta: Kubernetes vozli\u0161\u010da in CI\/CD izvajalci<\/li>\n<\/ul>\n
        CVE-2026-41940 \u2014 cPanel\/WHM<\/h3>\n
          \n
        • Posodobite cPanel na verzijo 11.136.0.5<\/strong> ali novej\u0161o<\/li>\n
        • WP Squared: posodobite na 136.1.7<\/strong> ali novej\u0161o<\/li>\n
        • Za\u017eenite cPanelov zaznavalni skript za znake kompromitacije<\/li>\n
        • Preverite, ali je imela va\u0161a infrastruktura dostop od 23. februarja naprej<\/li>\n
        • Blokirajte vrata 2083, 2087, 2095, 2096 do posodobitve<\/li>\n<\/ul>\n
          \n
          Kaj nam to pove o trenutnem stanju varnosti?<\/h2>\n
          Sovpadanje Copy Fail in cPanel zero-day v istem tednu ni naklju\u010dje niti posebna nesre\u010da \u2014 je simptom strukturnih te\u017eav. Napake z dolgo \u017eivljenjsko dobo (9 let za Copy Fail) ostajajo skrite, ker orodja za stati\u010dno analizo in fuzzerji niso pregledali vse kode. Ko AI sistemi za\u010dnejo to po\u010deti hitreje in ceneje, se bo stopnja odkrivanja resnih ranljivosti pove\u010dala.<\/p>\n
          64-dnevno zero-day okno pri cPanelu ka\u017ee, da cikli objave popravkov preprosto niso dovolj hitri za organiziran napad. Ko ima napadalec ekskluziven dostop do ranljivosti kriti\u010dne infrastrukture, ima teden dni prednosti dovolj za mno\u017ei\u010dno kompromitacijo.<\/p>\n
          Obe ranljivosti skupaj ponazarjata tezo, ki postaja vse glasnej\u0161a: model upravljanja ranljivosti, ki temelji na letnih ciklih pregledov in po\u010dasnih prodajalcih, se ne ujema z realnostjo sodobnih napadov.<\/p>\n
          \n
           <\/p>\n","protected":false},"excerpt":{"rendered":"
          Konec aprila 2026 smo do\u017eiveli dva resna varnostna incidenta hkrati \u2014 ranljivost jedra Linuxa in kriti\u010den obhod avtentikacije v cPanelu. Pojasnimo, kaj se je zgodilo in kaj morate […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10,113],"tags":[],"class_list":["post-536","post","type-post","status-publish","format-standard","hentry","category-linux","category-varnost"],"_links":{"self":[{"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/posts\/536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/comments?post=536"}],"version-history":[{"count":2,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/posts\/536\/revisions"}],"predecessor-version":[{"id":538,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/posts\/536\/revisions\/538"}],"wp:attachment":[{"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/media?parent=536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/categories?post=536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/tags?post=536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}