Критична вразливість у cPanel та WebHost Manager (WHM), позначена як CVE-2026-41940, за даними дослідників із QiAnXin XLab, активно експлуатується численними зловмисниками для розгортання бекдорів, майнерів криптовалют, програм-вимагачів і ботнетів. Згідно зі звітом XLab, понад 2 000 IP-адрес атакувальників задіяні в автоматизованих атаках на цю вразливість. Адміністраторам серверів з cPanel необхідно негайно перевірити наявність оновлень і ознак компрометації.

Технічні характеристики вразливості та ланцюжка атаки

Вразливість CVE-2026-41940 зачіпає панелі керування cPanel і WHM і, за повідомленнями, дає змогу обійти автентифікацію, надаючи віддаленим зловмисникам розширений контроль над панеллю керування. Важливе застереження: станом на час публікації відсутнє офіційне підтвердження цього CVE з боку вендора cPanel, запис у NVD або рекомендації CISA, тому деталі вразливості слід сприймати з обережністю.

За даними дослідників, ланцюжок атаки складається з кількох послідовних етапів:

1. Початкова експлуатація — використання вразливості для отримання доступу до панелі керування
2. Завантаження інфектора — shell-скрипт через wget або curl завантажує бінарний файл мовою Go з сервера cp.dene[.]de[.]com
3. Закріплення в системі — інфектор впроваджує SSH-ключ зловмисника для постійного доступу та встановлює PHP-веб-шел із функціями завантаження/скачування файлів і віддаленого виконання команд
4. Викрадення облікових даних — веб-шел встановлює JavaScript-код, який підміняє сторінку входу для перехоплення логінів і паролів, що надсилаються на домен wrned[.]com
5. Розгортання бекдора — фінальний етап передбачає встановлення кросплатформеного бекдора Filemanager, здатного, за твердженням дослідників, працювати на Windows, macOS і Linux

Як повідомляється, бекдор Filemanager доставляється через shell-скрипт із домену wpsock[.]com і підтримує керування файлами, віддалене виконання команд та функціональність інтерактивної оболонки.

Збирання та ексфільтрація даних

Окрім встановлення бекдора, інфектор, за даними XLab, збирає широкий спектр чутливої інформації зі скомпрометованого хоста:

• Історію команд bash
• Дані SSH (ключі, конфігурації)
• Інформацію про пристрій
• Паролі баз даних
• Віртуальні псевдоніми cPanel (valiases)

Зібрані дані, ймовірно, ексфільтруються до Telegram-групи з трьома учасниками, створеної користувачем з ніком «0xWR». Використання Telegram як каналу керування — поширена тактика, що ускладнює блокування інфраструктури зловмисників.

Контекст загрози та атрибуція

Дослідники XLab пов’язують кампанію з угрупованням, яке вони назвали Mr_Rot13 — за шифром ROT13, що використовується для кодування доменного імені C2-сервера. Назва домену wrned[.]com під час декодування через ROT13 перетворюється на jearq[.]com.

Опосередкованим підтвердженням тривалої активності угруповання є виявлення PHP-бекдора helper.php, завантаженого до VirusTotal у квітні 2022 року й такого, що використовує той самий C2-домен. Сам домен, як повідомляється, було зареєстровано в жовтні 2020 року, що вказує на потенційно багаторічну активність.

Слід наголосити, що атрибуція ґрунтується на єдиному дослідницькому джерелі й не підтверджена незалежними аналітиками або державними структурами.

За даними XLab, IP-адреси атакувальників розподілені між багатьма регіонами, переважно в Німеччині, США, Бразилії та Нідерландах. Водночас географічний розподіл вихідних IP-адрес може відображати розташування проксі-серверів і VPN, а не реальне місцезнаходження операторів.

Оцінка впливу

cPanel залишається однією з найпоширеніших панелей керування хостингом у світі. Компрометація сервера з cPanel потенційно зачіпає всі сайти та облікові записи, розміщені на ньому, що робить кожен скомпрометований сервер точкою входу для атак на десятки або сотні вебресурсів одночасно.

Поєднання обходу автентифікації, викрадення облікових даних і кросплатформеного бекдора створює багаторівневу загрозу: навіть після виявлення та усунення первинної точки входу зловмисники можуть зберігати доступ через впроваджені SSH-ключі або викрадені облікові дані.

Індикатори компрометації

• Домени: cp.dene[.]de[.]com, wrned[.]com, wpsock[.]com
• Геш SHA-256: 2d7d121dfcca6c17130ef605124869bf84ce77bee343ada78e0db2236174583a (helper.php)

Рекомендації щодо захисту

• Перевірити наявність оновлень cPanel/WHM і встановити найновішу доступну версію
• Провести аудит файлу authorized_keys для всіх облікових записів сервера — видалити невідомі SSH-ключі
• Перевірити наявність підозрілих PHP-файлів у директоріях cPanel, особливо з функціями eval(), base64_decode() та мережевими викликами
• Перевірити вихідні з’єднання до зазначених доменів у логах DNS і мережевого трафіку
• Перевірити цілісність сторінок входу cPanel — впроваджений JavaScript може підмінювати форму автентифікації
• Змінити всі паролі адміністративних облікових записів і баз даних на скомпрометованих серверах
• Обмежити доступ до інтерфейсу cPanel/WHM за IP-адресами через мережевий екран

Адміністраторам серверів з cPanel/WHM насамперед рекомендується перевірити наявність несанкціонованих SSH-ключів і підозрілих PHP-файлів — ці два ознаки є найнадійнішими індикаторами описаної компрометації. У разі виявлення слідів атаки слід ізолювати сервер, провести повний аудит усіх розміщених облікових записів і розглядати всі облікові дані, що зберігалися на сервері, як скомпрометовані.