Kính gửi Quý khách hàng,
TND HOSTING xin thông báo khẩn về 2 lỗ hổng bảo mật nghiêm trọng vừa được công bố và đang bị khai thác trong thực tế. Đây là cảnh báo dành cho tất cả khách hàng đang sử dụng dịch vụ VPS, Hosting, và đặc biệt là quản trị viên hệ thống Linux.
Tóm tắt nhanh
- CVE-2026-41940 – Lỗ hổng cPanel/WHM cho phép vượt qua xác thực (CVSS 9.8 – Critical). Đã bị khai thác từ tháng 2/2026.
- CVE-2026-31431 (Copy Fail) – Lỗ hổng kernel Linux cho phép leo thang đặc quyền lên root (CVSS 7.8 – High). Ảnh hưởng mọi distro Linux từ 2017.
- Hành động cần làm: Cập nhật ngay nếu bạn tự quản trị VPS. Khách hàng dùng Shared Hosting của TND đã được chúng tôi tự động xử lý.
1. CVE-2026-41940 – Lỗ hổng cPanel/WHM Authentication Bypass
Mức độ: Nghiêm trọng (CVSS 9.8/10)
Đây là lỗ hổng cho phép kẻ tấn công truy cập bảng điều khiển cPanel/WHM mà không cần mật khẩu. Lỗ hổng nằm trong luồng đăng nhập của cpsrvd (cPanel service daemon).
Phạm vi ảnh hưởng
- Tất cả phiên bản cPanel và WHM sau 11.40
- WP Squared (managed WordPress hosting)
- Khoảng 1.5 triệu cPanel servers public trên internet
Mức độ nguy hiểm
Khai thác thành công cho phép kẻ tấn công:
- Truy cập WHM với quyền root
- Xem và chỉnh sửa toàn bộ database các tài khoản cPanel
- Cài backdoor vào website của bạn
- Truy cập SSH keys, file hosting
- Compromise toàn bộ máy chủ và mọi website hosting trên đó
Cách kiểm tra phiên bản cPanel của bạn
SSH vào server với quyền root, chạy:
/usr/local/cpanel/cpanel -VPhiên bản cần cập nhật đến (an toàn): 11.110.0 trở lên đã có patch.
Cách xử lý
Bước 1: Cập nhật cPanel ngay
/scripts/upcp --force
/scripts/restartsrv_cpsrvd
/usr/local/cpanel/cpanel -VBước 2: Hạn chế truy cập cổng cPanel/WHM (khuyến nghị)
Chỉ cho phép IP của bạn truy cập các cổng 2082, 2083, 2086, 2087:
# Thay YOUR_IP bằng IP thật của bạn (kiểm tra: curl ifconfig.me)
iptables -I INPUT -p tcp --dport 2083 -j DROP
iptables -I INPUT -p tcp --dport 2087 -j DROP
iptables -I INPUT -p tcp -s YOUR_IP --dport 2083 -j ACCEPT
iptables -I INPUT -p tcp -s YOUR_IP --dport 2087 -j ACCEPTBước 3: Kiểm tra dấu hiệu xâm nhập
cPanel có script chính thức scan dấu hiệu bị khai thác. Tham khảo tại advisory chính thức của cPanel.
# Kiểm tra tài khoản WHM bất thường
whmapi1 listaccts | grep user
# Kiểm tra session files gần đây
ls -lat /var/cpanel/sessions/ | head -50
# Kiểm tra SSH keys lạ
cat /root/.ssh/authorized_keys
# Kiểm tra cron jobs lạ
crontab -l
ls -la /etc/cron.*2. CVE-2026-31431 (Copy Fail) – Lỗ hổng Kernel Linux
Mức độ: Cao (CVSS 7.8/10)
Lỗ hổng logic trong module algif_aead của kernel Linux cho phép user thường leo thang đặc quyền lên root chỉ với một script Python 732 byte.
Phạm vi ảnh hưởng
Ảnh hưởng mọi distro Linux chạy kernel từ 4.14 (release 2017) trở lên:
- Ubuntu (mọi phiên bản trước 26.04 Resolute)
- Debian, Proxmox
- RHEL, AlmaLinux, Rocky Linux, CentOS
- CloudLinux, Oracle Linux
- SUSE, Fedora, Alpine, Arch
Mức độ nguy hiểm
- User thường có shell access lên root
- Container escape (thoát khỏi Docker/LXC)
- Bypass SELinux/AppArmor ở config mặc định
- Đặc biệt nguy hiểm với hosting multi-tenant, Kubernetes, CI/CD
Cách kiểm tra
# Xem distro và phiên bản kernel
cat /etc/os-release
uname -r
# Kiểm tra module có built-in vào kernel không
modinfo algif_aead | grep filenameNếu kết quả là (builtin), server bạn dùng RHEL-family (AlmaLinux/CloudLinux/Rocky/RHEL) – cần dùng phương pháp grubby.
Cách xử lý theo distro
Ubuntu / Debian / Proxmox:
# Cập nhật kernel
sudo apt update && sudo apt upgrade
sudo reboot
# Hoặc mitigation tạm (không cần reboot)
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif_aead.conf
sudo rmmod algif_aead 2>/dev/nullAlmaLinux / Rocky Linux / RHEL 9+:
sudo dnf clean metadata && sudo dnf upgrade
sudo reboot
uname -rCloudLinux 8:
yum --enablerepo=cloudlinux-updates-testing update 'kernel*'
rebootCloudLinux 9/10:
sudo dnf clean metadata && sudo dnf upgrade
sudo rebootMitigation tạm cho RHEL-family (nếu chưa thể reboot ngay):
sudo grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"
sudo rebootLưu ý quan trọng: Phương pháp echo "install algif_aead /bin/false" KHÔNG hoạt động trên RHEL-family (AlmaLinux/CloudLinux/Rocky) vì module được build sẵn vào kernel. Bắt buộc phải dùng grubby hoặc cập nhật kernel.
Khách hàng dùng KernelCare:
kcarectl --update
kcarectl --info | grep CVE-2026-314313. Khách hàng TND HOSTING cần làm gì?
Khách Shared Hosting và Cloud Hosting
TND HOSTING đã và đang triển khai cập nhật bảo mật trên toàn bộ hệ thống. Bạn không cần làm gì thêm. Tuy nhiên, chúng tôi khuyến nghị:
- Đổi mật khẩu tài khoản cPanel/Email/FTP
- Kiểm tra lại danh sách email accounts, FTP accounts trong cPanel
- Bật xác thực 2 lớp (2FA) cho cPanel nếu chưa bật
Khách VPS / Cloud VPS
Bạn quản trị toàn quyền VPS, do đó cần tự áp dụng các bản vá theo hướng dẫn ở mục 1 và 2 phía trên. TND HOSTING khuyến nghị:
- Backup dữ liệu trước khi cập nhật kernel
- Lên lịch reboot vào giờ thấp điểm
- Sau khi cập nhật, chạy
uname -rđể xác nhận kernel mới
Khách Dedicated Server / Colocation
Tương tự VPS, bạn tự quản trị. Nếu cần hỗ trợ áp dụng bản vá, vui lòng mở ticket với phòng kỹ thuật TND HOSTING.
Khách Proxy Service
Hệ thống proxy của TND đã được cập nhật. Dịch vụ không bị gián đoạn.
4. Hỗ trợ kỹ thuật
Nếu bạn cần hỗ trợ áp dụng các bản vá, vui lòng liên hệ TND HOSTING qua các kênh:
- Mở ticket tại https://cloud.tnd.vn
- Email: [email protected]
- Hotline / Zalo / Telegram (xem trang liên hệ)
Đội kỹ thuật TND HOSTING ưu tiên xử lý các yêu cầu liên quan đến 2 CVE này 24/7 đến khi tình hình ổn định.
5. Tài liệu tham khảo
- CVE-2026-31431 (Copy Fail): https://copy.fail/
- CVE-2026-41940 cPanel Advisory: https://support.cpanel.net/
- NVD CVE-2026-31431: NVD Database
- CISA KEV Catalog: CISA KEV
Bài viết được TND HOSTING phát hành ngày 03/05/2026. Chúng tôi sẽ cập nhật bài này khi có thông tin mới.
TND HOSTING – Cam kết bảo mật và an toàn cho hệ thống của bạn.
