Критическая уязвимость CVE-2026-41940 в cPanel/WHM уже используется не только массовыми ботнетами и вымогателями, но и в таргетированных атаках против военных и государственных ресурсов в Юго-Восточной Азии, а также поставщиков управляемых и хостинговых услуг в нескольких странах; организациям с внешними панелями cPanel необходимо немедленно установить обновления и провести ретроспективную проверку компрометации минимум с 30 апреля 2026 года.
Технические детали кампании и уязвимости
В основе наблюдаемых атак лежит критическая уязвимость CVE-2026-41940 в cPanel и WebHost Manager (WHM), позволяющая обходить аутентификацию и получать повышенный контроль над панелью управления. Подробности уязвимости представлены в записи NVD: описание CVE-2026-41940 в NVD. По данным исследователей, для эксплуатации используются уже доступные в открытом доступе примеры кода (PoC), что резко снижает порог входа для злоумышленников.
Цели и инфраструктура атакующего
Исследователи зафиксировали активность с 2 мая 2026 года, исходящую с IP-адреса 95.111.250[.]175. Атаки были сфокусированы на:
- военных и связанных с обороной доменах на Филиппинах (
*.mil.phи другие домены*.ph), - государственных ресурсах Лаоса (
*.gov.la), - управляемых сервис-провайдерах и хостинг-провайдерах в Филиппинах, Лаосе, Канаде, ЮАР и США.
Эксплуатация CVE-2026-41940 по сути соответствует технике Exploit Public-Facing Application (T1190) по MITRE ATT&CK, где уязвимая внешняя панель управления используется как точка входа во внутреннюю инфраструктуру.
Отдельная цепочка атак на индонезийский оборонный портал
До начала эксплуатации CVE-2026-41940 тот же актор, по данным исследователей, атаковал учебный портал оборонного сектора в Индонезии с использованием отдельной, кастомной цепочки из аутентифицированной SQL-инъекции и удаленного выполнения кода. Ключевые моменты этой цепочки:
- злоумышленник уже владел действительными учетными данными портала (Valid Accounts, T1078),
- автоматизированный скрипт содержал жестко прописанные учетные данные и обходил CAPTCHA, читая ожидаемое значение из cookie сессии сервера, вместо решения визуального задания,
- после аутентификации использовалась функция управления документами; уязвимым был параметр, используемый для сохранения имени документа, куда скрипт внедрял SQL-код при обращении к endpoint сохранения документа, что приводило к выполнению произвольных команд на сервере.
Такой подход демонстрирует сочетание тактик: использование легитимных учетных данных, злоупотребление логикой аутентификации/защиты (CAPTCHA) и последующая эскалация через SQL-инъекцию и удаленное выполнение кода.
Закрепление и движение по сети
После успешной компрометации злоумышленник применял несколько уровней средств удаленного управления и доступа:
- фреймворк AdapdixC2 для дистанционного управления скомпрометированными хостами (организация собственной инфраструктуры команд и управления),
- OpenVPN и Ligolo для формирования устойчивых туннелей в сеть жертвы и организации перемещения внутри инфраструктуры (Proxy (T1090) и связанные техники MITRE ATT&CK),
- создание устойчивости с помощью systemd (добавление служб, запускаемых при старте системы), что соответствует технике Boot or Logon Autostart Execution (T1547).
Исследователи отмечают, что поверх этих механизмов был выстроен «прочный слой доступа», позволивший злоумышленнику переместиться во внутреннюю сеть и вывести значительный массив документов, относящихся к железнодорожному сектору Китая.
Массовая эксплуатация: Mirai и вымогатели
Параллельно с таргетированными атаками, по данным Censys, уязвимость CVE-2026-41940 была взята на вооружение несколькими независимыми группами в течение 24 часов после публичного раскрытия, в том числе для:
- развертывания вариантов ботнета Mirai,
- распространения вымогательского программного обеспечения под названием Sorry.
Фонд Shadowserver сообщил, что по крайней мере 44 000 IP-адресов, вероятно скомпрометированных через CVE-2026-41940, замечены в сканировании и переборе учетных данных против их honeypot-систем 30 апреля 2026 года; к 3 мая число таких IP снизилось до 3 540. Это указывает на быструю, но в значительной степени кратковременную волну массовой эксплуатации, которая могла привести к широкому распространению вторичных атак (ботнеты, перебор паролей, дальнейшее сканирование).
Оценка масштаба и воздействия
Исходя из представленных данных, можно выделить несколько уровней риска.
Наибольший риск — для операторов cPanel/WHM и их клиентов
- Хостинг-провайдеры и MSP. Компрометация одной панели cPanel/WHM может означать доступ к множеству клиентских аккаунтов и сайтов. В случае управляемых сервис-провайдеров это превращается в проблему безопасности цепочки поставок: через одного поставщика атакующий потенциально получает доступ к инфраструктуре десятков и сотен организаций.
- Госструктуры и оборонный сектор. Наблюдаемое целенаправленное сканирование и эксплуатация доменов *.mil.ph и *.gov.la демонстрирует интерес к данным обороны и государственного управления в регионе Юго-Восточной Азии, с возможностью дальнейшего lateral movement и кражи чувствительной информации.
- Сторонние отрасли. Эпизод с выносом документов железнодорожного сектора Китая через оборонный портал Индонезии показывает, что одна компрометированная система может привести к доступу к информации, принадлежащей совсем другим отраслям и странам.
Потенциальные последствия при бездействии
- Полный захват серверов с cPanel. Аутентификационный обход в сочетании с публичными PoC дает злоумышленнику возможность быстро получить административный контроль над панелью и, зачастую, над базовой операционной системой.
- Длительное скрытое присутствие. Использование OpenVPN, Ligolo и systemd-персистентности позволяет выстраивать устойчивые каналы в сеть жертвы, которые сложно отличить от легитимного администрирования.
- Комбинация кибершпионажа и криминальных схем. Одни и те же уязвимости одновременно используются для вымогательства (Sorry), создания ботнетов (Mirai) и целенаправленного похищения документов. Это усложняет анализ инцидента: скомпрометированный сервер может быть сразу частью нескольких независимых цепочек атак.
Практические рекомендации по защите и реагированию
1. Немедленная инвентаризация и обновление cPanel/WHM
- Сформируйте перечень всех внешних серверов, где используются cPanel и WHM, включая дочерние бренды, реселлеров и тестовые площадки.
- Сопоставьте версии и состояние обновлений с информацией по CVE-2026-41940 из NVD и официальной документации cPanel.
- Установите все доступные обновления безопасности, закрывающие CVE-2026-41940, в приоритетном порядке на серверы с внешней доступностью.
2. Временное снижение экспозиции
- Ограничьте доступ к cPanel/WHM по IP (allowlist) или переведите доступ к панели в VPN-сегмент, исключая прямое обращение из интернета.
- Убедитесь, что доступ к панели невозможен с общедоступных Wi-Fi и анонимайзеров, где это технически реализуемо.
- Отключите неиспользуемые плагины и модули, которые увеличивают поверхность атаки.
3. Охота за следами компрометации
С учетом уже состоявшейся массовой эксплуатации необходимо исходить из предположения о возможном взломе и провести ретроспективный анализ, особенно за период с 30 апреля 2026 года.
Проверка сетевой активности
- Проанализируйте логи межсетевых экранов и прокси на предмет:
- исходящих соединений с подозрительными хостами, особенно если они установлены с серверов, где развернуты cPanel/WHM;
- длительных или часто возобновляемых сессий, похожих на VPN или туннели (OpenVPN, Ligolo), идущих от серверов, которые обычно не инициируют такие соединения.
- При наличии средств NDR/IDS настройте правила на детектирование нетипичных VPN-тоннелей и туннелирующих инструментов (Ligolo и подобные, в рамках тактики Proxy (T1090)).
Проверка хостов
- Проверьте наличие:
- новых или измененных unit-файлов systemd, особенно запускающих неизвестные бинарные файлы или скрипты при старте системы;
- следов установки OpenVPN и Ligolo в нетипичных каталогах;
- добавленных учетных записей или SSH-ключей без документированной причины.
- Проанализируйте логи аутентификации и журнал действий панели на предмет:
- подозрительных логинов, особенно с IP-адреса 95.111.250[.]175 или других ранее не встречавшихся адресов;
- массового создания или изменения учетных записей, изменения настроек резервного копирования, установки новых плагинов.
4. Укрепление веб-порталов и бизнес-логики
Кейс с индонезийским оборонным порталом демонстрирует, что компрометация может произойти и без участия CVE-2026-41940 — через сочетание утекающих учетных данных, уязвимой бизнес-логики и SQL-инъекции. Рекомендуется:
- исключить хранение или передачу значений CAPTCHA в доступных для клиента cookie и других параметрах, которые можно прочитать на стороне браузера;
- провести тестирование бизнес-логики аутентификации и форм (включая функции управления документами) на предмет SQL-инъекций и других инъекционных уязвимостей;
- жестко ограничить права учетных записей баз данных: даже при SQL-инъекции злоумышленник не должен иметь возможность выполнять команды вне БД;
- усилить контроль за использованием действительных учетных записей (подход zero trust, аномалия в геолокации, времени суток, типе операций).
5. Действия для MSP и хостинг-провайдеров
- Проведите оценку, могли ли скомпрометированные панели cPanel/WHM дать злоумышленнику доступ к клиентским ресурсам; при обнаружении подозрительной активности оповестите клиентов и помогите им с внутренним расследованием.
- Разделите инфраструктуру управления и клиентские сегменты таким образом, чтобы взлом панели минимально влиял на остальную сеть.
- Пересмотрите модель доверия к учетным данным персонала, имеющего привилегированный доступ к cPanel/WHM, с учетом техники Valid Accounts (T1078).
Основной вывод: CVE-2026-41940 в cPanel/WHM уже перешла из статуса «новая уязвимость» в категорию активно эксплуатируемых как в криминальных, так и в целенаправленных операциях; организации, публикующие cPanel во внешнюю сеть, должны не только немедленно установить обновления, но и провести ретроспективное расследование с фокусом на период с 30 апреля 2026 года, проверяя как признаки эксплуатации панели, так и наличие туннелей (OpenVPN, Ligolo) и системной устойчивости через systemd на скомпрометированных серверах.
