Adım Adım Atak Vektörü

CVE-2026-41940 zafiyetinin sömürülmesi, protokoller arasındaki mantıksal boşlukları ve cpsrvd servisinin geçici oturum dosyalarını (session files) işleme biçimindeki hatayı temel alır. Bir saldırganın bu yetkisiz erişimi nasıl gerçekleştirdiğini adım adım inceleyelim:

1. Adım: Başlangıç Oturumu ve “Race Condition” Hazırlığı

Saldırgan, hedef cPanel veya WHM giriş arayüzüne (Port 2083/2087) standart bir HTTP isteği gönderir. Bu aşamada sistem, kullanıcıyı tanımlamak için /var/cpanel/sessions/ dizini altında geçici bir oturum dosyası oluşturur. Henüz kimlik doğrulanmadığı için bu dosya “pre-auth” statüsündedir.

2. Adım: “badpass” Metodunun Manipülasyonu

Normal bir “Kötü Şifre” denemesinde cPanel, oturum dosyasına method=badpass flag’ini ekler. Ancak zafiyet, saldırganın giriş isteği sırasında özel olarak yapılandırılmış bir veri paketi göndererek, oturum dosyasının içeriğine doğrudan müdahale etmesine (Session Injection) olanak tanır.

Saldırgan, sunucuya gönderdiği POST isteğinde parametre kirliliği (Parameter Pollution) veya özel karakter dizileri kullanarak sunucuyu şu yanılsamaya iter:

• Sunucu oturumu “başarısız” olarak işaretlemeye çalışırken, saldırganın enjekte ettiği auth_status=1 veya benzeri bir “başarılı” flag’i aynı dosya satırına yazılır.

3. Adım: Token Injection (Güvenlik Token’ı Üretimi)

cPanel’in güvenlik mimarisi her oturum için bir cp_security_token gerektirir. Zafiyet noktasında, cpsrvd servisi oturumu “hatalı giriş” olarak işaretlemesine rağmen, mantıksal bir hata nedeniyle oturuma geçerli bir security_token atamaya devam eder. Saldırgan, sunucunun yanıtından bu token değerini capture eder.

4. Adım: Kontrol Mekanizmalarının Atlatılması (Bypass)

Saldırgan, elindeki manipüle edilmiş oturum ID’si ve yeni üretilen security_token ile doğrudan bir yönetim URL’sine (örneğin: https://server:2087/cpsessXXXXXXXXXX/main.html) istek atar.

Buradaki kritik hata şudur: Cpanel::Server modülü, oturum dosyasında badpass ifadesini görse bile, eğer dosya içinde geçerli bir token ve kullanıcı eşleşmesi enjekte edilmişse, “token denied” kontrolünü atlayarak kullanıcıyı içerideki yetkili sayfaya yönlendirir.

5. Adım: Tam Yetki ve Kalıcılık (Post-Exploitation)

Kimlik doğrulama duvarı aşıldıktan sonra saldırgan, sistemde root veya kullanıcı yetkileriyle hareket edebilir. Bu noktadan sonra genellikle şunlar yapılır:

• Yeni bir API Token oluşturulur (kalıcılık için).
• Sistem logları manipüle edilerek giriş izleri gizlenmeye çalışılır.
• Zayıf izinli dosyalara webshell enjekte edilir.

CVE-2026-41940 için ne yapılmalı?

cPanel’in resmi destek sayfasında da belirtildiği üzere, bu zafiyetin tek kalıcı çözümü sistemlerin vakit kaybedilmeden yamalanmasıdır. Eğer sunucunuzda otomatik güncellemeler kapalıysa, aşağıdaki adımları manuel olarak uygulamanız hayati önem taşıyor.

1. Güncel Versiyon Kontrolü

Öncelikle sunucunuzun şu güvenli sürümlerden birine (veya daha üstüne) sahip olduğundan emin olun:

• 11.136.0.5
• 11.134.0.20
• 11.110.0.97 (LTS/ESR kullanıcıları için)

2. Güncelleme Komutları

Sunucunuza SSH üzerinden bağlanarak aşağıdaki komutlarla zorunlu güncellemeyi başlatabilirsiniz:

# cPanel & WHM sistemini en son yamalı sürüme yükseltir
/scripts/upcp --force

# Güncelleme sonrası servislerin yeni binary'leri kullandığından emin olmak için cpsrvd'yi yeniden başlatın
/scripts/restartsrv_cpsrvd --hard

3. Yapılandırma ve İzleme (Post-Update)

Güncelleme sonrasında sistemde herhangi bir anomali olup olmadığını anlamak için şu ek adımları izlemeniz önerilir:

• Session Temizliği: Şüpheli oturumları sonlandırmak için /var/cpanel/sessions dizinindeki eski dosyaları temizlemeyi düşünebilirsiniz.
• cPhulk Kontrolü: cPhulk servisinin aktif olduğunu ve kaba kuvvet saldırılarına karşı doğru yapılandırıldığını teyit edin. Zira bu zafiyet, cPhulk’ın bazı engelleme mantıklarını da bypass edebiliyordu.
• Log Analizi: /usr/local/cpanel/logs/access_log dosyasını, özellikle 28 Nisan öncesine dönük “anormal” başarılı girişler (normalde başarısız olması gereken IP’lerden gelen başarı kayıtları) için tarayın.

Bu tarz kritik bir açıkla karşılaştığımızda panikle hemen upcp komutuna sarılıyoruz ancak şu kuralı unutmamak gerek: Yedek almadığın sistem senin değildir.

CVE-2026-41940 gibi derinlikli açıklar yamalanırken, cPanel bazen paket bağımlılıklarını veya kernel seviyesindeki yapılandırmaları da güncelleyebiliyor. Güncelleme sırasında yaşanacak bir kesinti veya sürüm uyuşmazlığı, sunucuyu tamamen erişilemez hale getirebilir.

Süreci başlatmadan önce şu üçlü koruma kalkanını uygulamanızı öneririm:

1. Snapshot Alın: Eğer bulut tabanlı bir altyapı kullanıyorsanız, güncellemeye başlamadan önce mutlaka bir “Snapshot” alın.
2. Konfigürasyon Yedekleri: /etc/ dizini altındaki kritik yapılandırmalarınızı ve özellikle /var/cpanel/ altındaki lisans/oturum verilerini ayrı bir yere kopyalayın.
3. Dışarıya Yedekleme: Yedeklerinizin sunucuyla aynı diskte kalmadığından emin olun. Saldırganın içeri sızma ihtimaline karşı “Offsite Backup” her zaman hayat kurtarır.

Unutmayın; bir sistemi geri yüklemek, çökmüş bir sistemi tamir etmeye çalışmaktan her zaman daha hızlıdır.

Üstelik, Cloudflare Tunnel teknolojisiyle bilgisayarımızı güvenli bir şekilde dış dünyaya açarak, resmen bir sunucu haline getireceğiz.

Zabbix Nedir ?

Zabbix, ağ cihazları, sunucular, uygulamalar ve hizmetleri gerçek zamanlı olarak izlemek için kullanılan, güçlü ve esnek bir araçtır. Ücretsizdir, açık kaynaklıdır ve büyük ölçekli yapılarda bile performanslı çalışır.

Zabbix ile neler yapabilirsiniz?

• Sunucu ve ağ ekipmanlarını izleyebilirsiniz.
• CPU, RAM, disk ve ağ trafiği gibi metrikleri takip edebilirsiniz.
• Anormallik durumlarında otomatik bildirim alabileceğiniz alarmlar kurabilirsiniz.
• Güzel grafik ve raporlama arayüzleri ile sistem sağlığınızı görselleştirebilirsiniz.

VirtualBox Ubuntu 22.04 Kurulumu

1. Virtual Box Kurulumu

Kurulumu Windows bir cihaz üzerinde VirtualBox kullanarak Ubuntu 22.04 işletim sistemi ile yapacağız. VirtualBox kurulumu oldukça kolaydır exe dosyasını indirip çalıştırmanız yeterli ve sanallaştırma desteğinin de BIOS ayarlarından açık olması gerekmektedir. Bu aşamada bilgisayarınıza bağlı olarak çeşitli sorunlar alabilirsiniz bunlara şuan için değinmeyeceğim bir çok kaynaktan çözüme ulaşabilirsiniz.

2. ISO Dosyası İndirme ve Kurulumu

VirtualBox kurulumunun ardından ISO dosyamızı indiriyoruz bunun içinde https://ubuntu.com/download adresinde Ubuntu Desktop versiyonunu indirebilirsiniz.

ISO dosyamız indikten sonra yeni butonuna tıklayalım :

Ardından sanal makinamıza bir isim verelim ve indirdiğimiz ISO kalıbımızı seçelim. En alttaki “Katılımsız Kurulumu Atla” seçeneğini de seçebilirsiniz :

Donanım başlığına tıklayalım ve açılan ekranda Ram ve İşlemci miktarını ayarlayalım, bazı işlemciler de 2 üzeri çekirdek seçimi yapıldığın da hata verebiliyor hata alırsanız 2 çekirdek olarak ayarlayabilirsiniz. Sabit disk başlığına da tıklayarak istediğiniz miktarda ayarlayabilirsiniz :

Bitir tuşuna tıklayarak ilk kez çalıştırmaya başlayabilirsiniz. Karşınıza kurulum ekranı çıktığında enter’a basarak devam edin ve kurulmasını bekleyin.

Kurulum tamamlandığında Ubuntu masaüstü ekranı karşımıza gelecek :

Sol altta bulunan ubuntu ikonuna tıklayarak açılan ekranda terminal ikonuna tıklayın ve artık Zabbix kurulumuna hazırız.

Zabbix Kurulumu

• Terminalimiz de Root Yetkileri veriyoruz.

sudo -s

• Zabbix Depolarını Yüklüyoruz

# wget https://repo.zabbix.com/zabbix/7.4/release/ubuntu/pool/main/z/zabbix-release/zabbix-release_latest_7.4+ubuntu24.04_all.deb
# dpkg -i zabbix-release_latest_7.4+ubuntu24.04_all.deb
# apt update

• Zabbix server,agent ve web server yüklüyoruz

# apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent

• Bu aşamada mysql server kurulumunu yapıyoruz, zabbix’in kendi sitesinde bu aşamaya değinilmiyor.

sudo apt update
sudo apt install -y mysql-server

• Mysql servisinin durumunu kontrol ediyoruz

sudo systemctl status mysql-service

• İlk database kurulumunu yapıyoruz

mysql -uroot -p
password
create database zabbix character set utf8mb4 collate utf8mb4_bin;
create user zabbix@localhost identified by 'password';
grant all privileges on zabbix.* to zabbix@localhost;
set global log_bin_trust_function_creators = 1;
quit;

• Database ilk şema ve verileri import ediyoruz.

zcat /usr/share/zabbix/sql-scripts/mysql/server.sql.gz | mysql --default-character-set=utf8mb4 -uzabbix -p zabbix

• Database şemasını içeri aktardıktan sonra log_bin_trust_function_creators seçeneği devre dışı bırakıyoruz.

mysql -uroot -p
password
set global log_bin_trust_function_creators = 0;
quit;

• Zabbix sunucu için database şifremizi belirliyoruz.

Ayar dosyamızı açalım : nano /etc/zabbix/zabbix_server.conf  

Ve bu satırı arayarak başında # işaretini kaldırın : DBPassword=password

• Zabbix Server’ı başlatalım

systemctl restart zabbix-server zabbix-agent apache2
systemctl enable zabbix-server zabbix-agent apache2

Zabbix Web Arayüzüne Giriş

“IP adresiniz/zabbix” yazarak arayüzü girelim ve database ayar ekranında şifre kısmına “password” yazarak devam edelim eğer hata alırsanız boş bırakıp tekrar deneyin yine hata alırsanız mysql kullanıcısının şifresini değiştirin.

Kurulum adımlarını tamamladıktan sonra karşımıza login ekranı gelecektir.

Default Zabbix giriş bilgileri şunlardır:

User: Admin
Password: zabbix 

Tebrikler, artık zabbix’i başarılı bir şekilde sistemimize kurmuş olduk sırada bu sunucumuzu internetin bağlı olduğu her yerden erişmek için Cloudflare Tunnel kurarak ücretsiz bir şekilde tüm dünyaya açalım.

Cloudflare Tunnel Nedir ?

Cloudflare Tunnel, bir web uygulamasını, sunucunun IP adresini açmadan, doğrudan Cloudflare ağı üzerinden erişilebilir hale getirir.

Nasıl Çalışır?

1. Sunucuda çalışan cloudflared adlı küçük bir istemci vardır.
2. Bu istemci, Cloudflare’in ağına outbound (giden) bir bağlantı açar.
3. Cloudflare kendi ağı üzerindeki DNS kaydı (örneğin: tunnel.senin-site.com) üzerinden gelen istekleri, bu tünelden içeri yönlendirir.

Bu şekilde evdeki web sunucularınızı internete kolayca açabilirsiniz.

Nasıl Kurulur ?

Kurulumdan önce Cloudflare’da en az 1 adet domain bulunmalıdır, bu domain üzerinden zabbix’i yayınlayacağız.

• Öncelikle Cloudflare’a giriş yapalım ve ardından panelimizde sol tarafta menüde Zero Trust linkine tıklayalım.
• Zero Trust panelinde soldaki menü de Networks menüsü altında Tunnels linkine tıklayın.

• Açılan sayfa da create’a tunnel butonuna basalım.
• Şimdi ise sayfada tunnel tipimizi Cloudflared olarak seçelim.
• Tunnel’a yeni bir isim verelim.
• Bu sayfada Debian 64-bit olarak seçelim ve Ubuntu sistemimiz de aşağıdaki komutları sırayla uygulayalım.

• Cloudflare tarafından bize verilen komutları uyguladıktan sistemimiz artık Cloudflare ağına bağlı olucaktır.

• Bağlantıyı yaptıktan sonra bu sayfada zabbix’in çalışacağı bir subdomain belirtiyoruz ve domainimizi seçiyoruz.
• Tunnel yapılandırmasında servis türünü HTTP, hedef URL’yi ise http://localhost:80 olarak belirleyin.
  Zabbix Server 10051 portunu dinlese de, web arayüzü Apache veya Nginx üzerinden 80 portunda sunulmaktadır. Bu nedenle 80 portu üzerinden test yapabilirsiniz.

Tüm bu aşamaları tamamladıktan sonra Zabbix’i artık bir domain’e de bağlamış olduk ve internette yayınladık. Artık “sizin-domaininiz/zabbix” adresine giderek zabbix giriş sayfasına ulaşabilirsiniz!