Як експлуатація CVE-2026-41940 в cPanel/WHM б’є по провайдерах і держсектору

Критична вразливість CVE-2026-41940 у cPanel/WHM уже використовується не лише масовими ботнетами та операторами вимогального ПЗ (ransomware), а й у таргетованих атаках проти військових і державних ресурсів у Південно-Східній Азії, а також постачальників керованих та хостингових послуг у кількох країнах; організаціям із зовнішньо доступними панелями cPanel необхідно негайно встановити оновлення та провести ретроспективну перевірку на компрометацію щонайменше з 30 квітня 2026 року.

Технічні деталі кампанії та вразливості

В основі зафіксованих атак лежить критична вразливість CVE-2026-41940 у cPanel і WebHost Manager (WHM), що дає змогу обходити автентифікацію та отримувати підвищений контроль над панеллю керування. Подробиці вразливості наведені в записі NVD: опис CVE-2026-41940 в NVD. За даними дослідників, для експлуатації використовуються вже доступні у відкритому доступі зразки коду (PoC), що різко знижує поріг входу для зловмисників.

Цілі та інфраструктура зловмисника

Дослідники зафіксували активність із 2 травня 2026 року, що надходила з IP-адреси 95.111.250[.]175. Атаки були сфокусовані на:

• військових і пов’язаних з обороною доменах на Філіппінах (*.mil.ph та інших доменах *.ph),
• державних ресурсах Лаосу (*.gov.la),
• керованих сервіс-провайдерах і хостинг-провайдерах у Філіппінах, Лаосі, Канаді, ПАР і США.

Експлуатація CVE-2026-41940 по суті відповідає техніці Exploit Public-Facing Application (T1190) за MITRE ATT&CK, коли вразлива зовнішня панель керування використовується як точка входу до внутрішньої інфраструктури.

Окремий ланцюжок атак на індонезійський оборонний портал

До початку експлуатації CVE-2026-41940 той самий актор, за даними дослідників, атакував навчальний портал оборонного сектору в Індонезії, використовуючи окремий, кастомний ланцюжок із автентифікованої SQL injection та віддаленого виконання коду. Ключові моменти цього ланцюжка:

• зловмисник уже володів дійсними обліковими даними порталу (Valid Accounts, T1078),
• автоматизований скрипт містив жорстко прописані облікові дані та обходив CAPTCHA, зчитуючи очікуване значення з cookie сесії сервера замість розв’язання візуального завдання,
• після автентифікації використовувалася функція керування документами; вразливим був параметр, який застосовувався для збереження назви документа, куди скрипт впроваджував SQL-код під час звернення до endpoint’у збереження документа, що призводило до виконання довільних команд на сервері.

Такий підхід демонструє поєднання тактик: використання легітимних облікових записів, зловживання логікою автентифікації/захисту (CAPTCHA) і подальша ескалація через SQL injection та віддалене виконання коду.

Закріплення та переміщення мережею

Після успішної компрометації зловмисник застосовував кілька рівнів засобів віддаленого керування й доступу:

• фреймворк AdapdixC2 для дистанційного керування скомпрометованими хостами (організація власної інфраструктури команд і керування),
• OpenVPN і Ligolo для формування стійких тунелів у мережу жертви та організації переміщення всередині інфраструктури (Proxy (T1090) та пов’язані техніки MITRE ATT&CK),
• створення стійкості за допомогою systemd (додавання служб, що запускаються під час старту системи), що відповідає техніці Boot or Logon Autostart Execution (T1547).

Дослідники відзначають, що поверх цих механізмів було вибудувано «міцний шар доступу», який дозволив зловмиснику переміститися до внутрішньої мережі та вивести значний масив документів, пов’язаних із залізничним сектором Китаю.

Масова експлуатація: Mirai та вимагальне ПЗ

Паралельно з таргетованими атаками, за даними Censys, вразливість CVE-2026-41940 була взята на озброєння кількома незалежними групами протягом 24 годин після публічного розкриття, зокрема для:

• розгортання варіантів ботнета Mirai,
• поширення вимагального програмного забезпечення під назвою Sorry.

Фонд Shadowserver повідомив, що щонайменше 44 000 IP-адрес, імовірно скомпрометованих через CVE-2026-41940, були помічені у скануванні та переборі облікових даних проти їхніх honeypot-систем 30 квітня 2026 року; до 3 травня кількість таких IP знизилася до 3 540. Це вказує на швидку, але значною мірою короткочасну хвилю масової експлуатації, яка могла призвести до широкого поширення вторинних атак (ботнети, перебір паролів, подальше сканування).

Оцінка масштабу та впливу

Виходячи з наведених даних, можна виокремити кілька рівнів ризику.

Найвищий ризик — для операторів cPanel/WHM та їхніх клієнтів

• Хостинг-провайдери та MSP. Компрометація однієї панелі cPanel/WHM може означати доступ до безлічі клієнтських облікових записів і сайтів. У разі керованих сервіс-провайдерів це перетворюється на проблему безпеки ланцюга постачання: через одного постачальника атакувальник потенційно отримує доступ до інфраструктури десятків і сотень організацій.
• Держструктури та оборонний сектор. Спостережуване цілеспрямоване сканування й експлуатація доменів *.mil.ph та *.gov.la демонструє інтерес до даних оборони та державного управління в регіоні Південно-Східної Азії з можливістю подальшого lateral movement і викрадення чутливої інформації.
• Суміжні галузі. Епізод із виносом документів залізничного сектору Китаю через оборонний портал Індонезії показує, що одна скомпрометована система може призвести до доступу до інформації, що належить зовсім іншим галузям і країнам.

Потенційні наслідки у разі бездіяльності

• Повне захоплення серверів із cPanel. Обхід автентифікації в поєднанні з публічними PoC дає зловмиснику змогу швидко отримати адміністративний контроль над панеллю й часто над базовою операційною системою.
• Тривала прихована присутність. Використання OpenVPN, Ligolo та systemd-персистентності дозволяє вибудовувати стійкі канали в мережу жертви, які складно відрізнити від легітимного адміністрування.
• Комбінація кібершпигунства та кримінальних схем. Одні й ті самі вразливості одночасно застосовуються для вимагання (Sorry), створення ботнетів (Mirai) і цілеспрямованого викрадення документів. Це ускладнює аналіз інциденту: скомпрометований сервер може одночасно бути частиною кількох незалежних ланцюжків атак.

Практичні рекомендації щодо захисту та реагування

1. Негайна інвентаризація та оновлення cPanel/WHM

1. Сформуйте перелік усіх зовнішніх серверів, де використовуються cPanel і WHM, включно з дочірніми брендами, реселерами та тестовими майданчиками.
2. Зіставте версії та стан оновлень з інформацією щодо CVE-2026-41940 з NVD та офіційною документацією cPanel.
3. Установіть усі доступні оновлення безпеки, що закривають CVE-2026-41940, у пріоритетному порядку на серверах із зовнішньою доступністю.

2. Тимчасове зниження експозиції

• Обмежте доступ до cPanel/WHM за IP (allowlist) або переведіть доступ до панелі в VPN-сегмент, унеможлививши прямі звернення з інтернету.
• Переконайтеся, що доступ до панелі неможливий з публічних Wi-Fi та анонімайзерів, де це технічно реалізовно.
• Вимкніть невикористовувані плагіни й модулі, які збільшують поверхню атаки.

3. Полювання на сліди компрометації

З огляду на вже здійснену масову експлуатацію необхідно виходити з припущення про можливий злам і провести ретроспективний аналіз, особливо за період з 30 квітня 2026 року.

Перевірка мережевої активності

• Проаналізуйте журнали міжмережевих екранів і проксі на предмет:
  • вихідних з’єднань із підозрілими хостами, особливо якщо їх ініційовано з серверів, де розгорнуто cPanel/WHM;
  • тривалих або часто поновлюваних сесій, схожих на VPN або тунелі (OpenVPN, Ligolo), що виходять від серверів, які зазвичай не ініціюють такі з’єднання.
• За наявності засобів NDR/IDS налаштуйте правила на детектування нетипових VPN-тунелів і тунелювальних інструментів (Ligolo та подібні, у межах тактики Proxy (T1090)).

Перевірка хостів

• Перевірте наявність:
  • нових або змінених unit-файлів systemd, особливо тих, що запускають невідомі бінарні файли чи скрипти під час старту системи;
  • слідів інсталяції OpenVPN і Ligolo в нетипових каталогах;
  • доданих облікових записів або SSH-ключів без задокументованої причини.
• Проаналізуйте журнали автентифікації та журнал дій панелі на предмет:
  • підозрілих логінів, особливо з IP-адреси 95.111.250[.]175 або інших раніше не зафіксованих адрес;
  • масового створення чи зміни облікових записів, зміни налаштувань резервного копіювання, встановлення нових плагінів.

4. Посилення веб-порталів і бізнес-логіки

Кейс з індонезійським оборонним порталом демонструє, що компрометація може статися і без участі CVE-2026-41940 — через поєднання втрачених облікових даних, вразливої бізнес-логіки та SQL injection. Рекомендується:

• усунути зберігання або передавання значень CAPTCHA в cookie та інших параметрах, доступних клієнту, які можна прочитати на боці браузера;
• провести тестування бізнес-логіки автентифікації та форм (включно з функціями керування документами) на наявність SQL injection та інших ін’єкційних вразливостей;
• жорстко обмежити права облікових записів баз даних: навіть у разі SQL injection зловмисник не повинен мати змоги виконувати команди поза БД;
• посилити контроль за використанням дійсних облікових записів (підхід zero trust, виявлення аномалій у геолокації, часі доби, типі операцій).

5. Дії для MSP і хостинг-провайдерів

• Проведіть оцінку, чи могли скомпрометовані панелі cPanel/WHM надати зловмиснику доступ до клієнтських ресурсів; у разі виявлення підозрілої активності повідомте клієнтів і допоможіть їм із внутрішнім розслідуванням.
• Розділіть інфраструктуру керування та клієнтські сегменти так, щоб злам панелі мінімально впливав на решту мережі.
• Перегляньте модель довіри до облікових даних персоналу, який має привілейований доступ до cPanel/WHM, з урахуванням техніки Valid Accounts (T1078).

Основний висновок: CVE-2026-41940 у cPanel/WHM уже перейшла зі статусу «нова вразливість» до категорії активно експлуатованих як у кримінальних, так і в цілеспрямованих операціях; організації, що публікують cPanel у зовнішню мережу, мають не лише негайно встановити оновлення, а й провести ретроспективне розслідування з фокусом на період з 30 квітня 2026 року, перевіряючи як ознаки експлуатації панелі, так і наявність тунелів (OpenVPN, Ligolo) та системної стійкості через systemd на скомпрометованих серверах.