Критическая уязвимость в cPanel и WebHost Manager (WHM), отслеживаемая как CVE-2026-41940, по данным исследователей из QiAnXin XLab, активно эксплуатируется множеством злоумышленников для развёртывания бэкдоров, майнеров криптовалют, программ-вымогателей и ботнетов. Согласно отчёту XLab, более 2 000 IP-адресов атакующих участвуют в автоматизированных атаках на эту уязвимость. Администраторам серверов с cPanel необходимо немедленно проверить наличие обновлений и признаков компрометации.

Техническая характеристика уязвимости и цепочки атаки

Уязвимость CVE-2026-41940 затрагивает панели управления cPanel и WHM и, как сообщается, позволяет обойти аутентификацию, предоставляя удалённым атакующим повышенный контроль над панелью управления. Важная оговорка: на момент публикации отсутствует официальное подтверждение данного CVE со стороны вендора cPanel, записи в NVD или рекомендации CISA, поэтому детали уязвимости следует воспринимать с осторожностью.

По данным исследователей, цепочка атаки включает несколько последовательных этапов:

1. Первоначальная эксплуатация — использование уязвимости для получения доступа к панели управления
2. Загрузка инфектора — shell-скрипт через wget или curl скачивает бинарный файл на Go с сервера cp.dene[.]de[.]com
3. Закрепление в системе — инфектор внедряет SSH-ключ атакующего для постоянного доступа и устанавливает PHP-веб-шелл с функциями загрузки/скачивания файлов и удалённого выполнения команд
4. Кража учётных данных — веб-шелл внедряет JavaScript-код, подменяющий страницу входа для перехвата логинов и паролей, которые отправляются на домен wrned[.]com
5. Развёртывание бэкдора — финальный этап включает установку кроссплатформенного бэкдора Filemanager, способного, по заявлению исследователей, работать на Windows, macOS и Linux

Бэкдор Filemanager, как сообщается, доставляется через shell-скрипт с домена wpsock[.]com и поддерживает управление файлами, удалённое выполнение команд и функциональность интерактивной оболочки.

Сбор и эксфильтрация данных

Помимо установки бэкдора, инфектор, по данным XLab, собирает широкий спектр чувствительной информации с скомпрометированного хоста:

• Историю команд bash
• Данные SSH (ключи, конфигурации)
• Информацию об устройстве
• Пароли баз данных
• Виртуальные алиасы cPanel (valiases)

Собранные данные, предположительно, эксфильтрируются в Telegram-группу из трёх участников, созданную пользователем с ником «0xWR». Использование Telegram в качестве канала управления — распространённая тактика, затрудняющая блокировку инфраструктуры атакующих.

Контекст угрозы и атрибуция

Исследователи XLab связывают кампанию с группировкой, которую они назвали Mr_Rot13 — по шифру ROT13, используемому для кодирования доменного имени C2-сервера. Название домена wrned[.]com при декодировании через ROT13 превращается в jearq[.]com.

Косвенным подтверждением длительной активности группировки служит обнаружение PHP-бэкдора helper.php, загруженного на VirusTotal в апреле 2022 года и использующего тот же C2-домен. Сам домен, как сообщается, был зарегистрирован в октябре 2020 года, что указывает на потенциально многолетнюю активность.

Следует подчеркнуть, что атрибуция основана на единственном исследовательском источнике и не подтверждена независимыми аналитиками или государственными структурами.

По данным XLab, IP-адреса атакующих распределены по множеству регионов, преимущественно в Германии, США, Бразилии и Нидерландах. Однако географическое распределение исходных IP-адресов может отражать расположение прокси-серверов и VPN, а не реальную локацию операторов.

Оценка воздействия

cPanel остаётся одной из наиболее распространённых панелей управления хостингом в мире. Компрометация сервера с cPanel потенциально затрагивает все размещённые на нём сайты и учётные записи, что делает каждый скомпрометированный сервер точкой входа для атак на десятки или сотни веб-ресурсов одновременно.

Комбинация обхода аутентификации, кражи учётных данных и кроссплатформенного бэкдора создаёт многоуровневую угрозу: даже после обнаружения и устранения первичной точки входа атакующие могут сохранять доступ через внедрённые SSH-ключи или украденные учётные данные.

Индикаторы компрометации

• Домены: cp.dene[.]de[.]com, wrned[.]com, wpsock[.]com
• Хеш SHA-256: 2d7d121dfcca6c17130ef605124869bf84ce77bee343ada78e0db2236174583a (helper.php)

Рекомендации по защите

• Проверить наличие обновлений cPanel/WHM и установить последнюю доступную версию
• Провести аудит файла authorized_keys на всех учётных записях сервера — удалить неизвестные SSH-ключи
• Проверить наличие подозрительных PHP-файлов в директориях cPanel, особенно с функциями eval(), base64_decode() и сетевыми вызовами
• Проверить исходящие соединения к указанным доменам в логах DNS и сетевого трафика
• Проверить целостность страниц входа cPanel — внедрённый JavaScript может подменять форму авторизации
• Сменить все пароли административных учётных записей и баз данных на скомпрометированных серверах
• Ограничить доступ к интерфейсу cPanel/WHM по IP-адресам через межсетевой экран

Администраторам серверов с cPanel/WHM рекомендуется в первую очередь проверить наличие несанкционированных SSH-ключей и подозрительных PHP-файлов — эти два признака являются наиболее надёжными индикаторами описанной компрометации. При обнаружении следов атаки необходимо изолировать сервер, провести полный аудит всех размещённых учётных записей и рассматривать все хранившиеся на сервере учётные данные как скомпрометированные.