Eine kritische Schwachstelle in cPanel und WebHost Manager (WHM), nachverfolgt als CVE-2026-41940, wird laut Forschern von QiAnXin XLab aktiv von zahlreichen Angreifern ausgenutzt, um Backdoors, Kryptominer, Ransomware und Botnets zu installieren. Nach dem XLab-Bericht sind mehr als 2 000 IP-Adressen der Angreifer an automatisierten Attacken auf diese Schwachstelle beteiligt. Administratoren von Servern mit cPanel sollten umgehend nach Updates und Anzeichen einer Kompromittierung suchen.

Technische Beschreibung der Schwachstelle und Angriffskette

Die Schwachstelle CVE-2026-41940 betrifft die Administrationsoberflächen cPanel und WHM und ermöglicht Berichten zufolge das Umgehen der Authentifizierung, wodurch entfernte Angreifer erweiterte Kontrolle über das Control Panel erlangen können. Wichtiger Hinweis: Zum Zeitpunkt der Veröffentlichung fehlt eine offizielle Bestätigung dieser CVE durch den Hersteller cPanel, einen Eintrag in der NVD oder Empfehlungen der CISA, weshalb die Details zur Schwachstelle mit Vorsicht zu betrachten sind.

Den Forschern zufolge umfasst die Angriffskette mehrere aufeinanderfolgende Schritte:

1. Erstzugriff — Ausnutzung der Schwachstelle, um Zugang zur Administrationsoberfläche zu erhalten
2. Download des Infektors — ein Shell-Skript lädt per wget oder curl eine Go-Binärdatei von dem Server cp.dene[.]de[.]com herunter
3. Persistenz in der Umgebung — der Infektor hinterlegt den SSH-Schlüssel des Angreifers für dauerhaften Zugriff und installiert eine PHP-Web-Shell mit Funktionen zum Hoch- und Herunterladen von Dateien sowie zur Remote-Befehlsausführung
4. Diebstahl von Zugangsdaten — die Web-Shell injiziert JavaScript-Code, der die Login-Seite manipuliert, um Logins und Passwörter abzugreifen, die an die Domain wrned[.]com gesendet werden
5. Installation einer Backdoor — im letzten Schritt wird die plattformübergreifende Backdoor Filemanager eingerichtet, die laut den Forschern unter Windows, macOS und Linux lauffähig ist

Die Backdoor Filemanager wird demnach über ein Shell-Skript von der Domain wpsock[.]com ausgeliefert und unterstützt Dateiverwaltung, Remote-Befehlsausführung und eine interaktive Shell-Funktionalität.

Datensammlung und Exfiltration

Neben der Installation der Backdoor sammelt der Infektor laut XLab eine breite Palette sensibler Informationen vom kompromittierten Host:

• Bash-Befehlsverlauf
• SSH-Daten (Schlüssel, Konfigurationen)
• Informationen zum Gerät
• Datenbankpasswörter
• Virtuelle cPanel-Aliase (valiases)

Die gesammelten Daten werden mutmaßlich in eine Telegram-Gruppe mit drei Teilnehmern exfiltriert, die von einem Nutzer mit dem Nicknamen „0xWR“ erstellt wurde. Die Nutzung von Telegram als Steuerungskanal ist eine gängige Taktik, die das Blockieren der Angreiferinfrastruktur erschwert.

Bedrohungskontext und Attribution

Die XLab-Forscher ordnen die Kampagne einer Gruppe zu, die sie Mr_Rot13 nennen – nach der ROT13-Chiffre, mit der der Domainname des C2-Servers codiert wird. Der Domainname wrned[.]com wird bei der Dekodierung mittels ROT13 zu jearq[.]com.

Als indirekter Hinweis auf die langjährige Aktivität der Gruppe gilt die Entdeckung einer PHP-Backdoor helper.php, die im April 2022 bei VirusTotal hochgeladen wurde und denselben C2-Domainnamen verwendet. Die Domain selbst wurde demnach im Oktober 2020 registriert, was auf eine potenziell mehrjährige Aktivität hindeutet.

Es ist zu betonen, dass diese Attribution ausschließlich auf einer einzigen Forschungsquelle beruht und nicht von unabhängigen Analysten oder staatlichen Stellen bestätigt wurde.

Laut XLab sind die IP-Adressen der Angreifer über zahlreiche Regionen verteilt, vorwiegend in Deutschland, den USA, Brasilien und den Niederlanden. Die geografische Verteilung der Quell-IP-Adressen kann jedoch eher den Standort von Proxy-Servern und VPN-Endpunkten widerspiegeln als die tatsächliche Position der Operatoren.

Einschätzung der Auswirkungen

cPanel ist nach wie vor eines der weltweit am weitesten verbreiteten Hosting-Control-Panels. Eine Kompromittierung eines cPanel-Servers betrifft potenziell alle darauf gehosteten Websites und Accounts, wodurch jeder kompromittierte Server zu einem Einstiegspunkt für Angriffe auf Dutzende oder Hunderte von Webressourcen gleichzeitig wird.

Die Kombination aus Authentifizierungsumgehung, Diebstahl von Zugangsdaten und einer plattformübergreifenden Backdoor schafft eine mehrschichtige Bedrohung: Selbst nach Entdeckung und Beseitigung des ursprünglichen Einstiegspunkts können Angreifer über hinterlegte SSH-Schlüssel oder gestohlene Zugangsdaten weiterhin Zugriff behalten.

Indikatoren einer Kompromittierung

• Domains: cp.dene[.]de[.]com, wrned[.]com, wpsock[.]com
• SHA-256-Hash: 2d7d121dfcca6c17130ef605124869bf84ce77bee343ada78e0db2236174583a (helper.php)

Empfehlungen zum Schutz

• Prüfen, ob Updates für cPanel/WHM vorliegen, und die jeweils neueste verfügbare Version installieren
• Eine Prüfung der Datei authorized_keys in allen Accounts des Servers durchführen – unbekannte SSH-Schlüssel entfernen
• Auf verdächtige PHP-Dateien in den cPanel-Verzeichnissen prüfen, insbesondere mit Funktionen wie eval(), base64_decode() und Netzwerkaufrufen
• Ausgehende Verbindungen zu den genannten Domains in DNS- und Netzwerkverkehrs-Logs überprüfen
• Die Integrität der cPanel-Loginseiten überprüfen – injizierter JavaScript-Code kann das Anmeldeformular manipulieren
• Alle Passwörter administrativer Accounts und Datenbanken auf kompromittierten Servern ändern
• Den Zugriff auf die cPanel/WHM-Oberfläche per Firewall auf bestimmte IP-Adressen beschränken

Administratoren von Servern mit cPanel/WHM sollten vorrangig nach unautorisierten SSH-Schlüsseln und verdächtigen PHP-Dateien suchen – diese beiden Merkmale sind die verlässlichsten Indikatoren für die beschriebene Kompromittierung. Werden Spuren eines Angriffs entdeckt, ist der Server zu isolieren, ein vollständiger Audit aller gehosteten Accounts durchzuführen und alle auf dem Server gespeicherten Zugangsdaten als kompromittiert zu betrachten.