Útočníci zneužívají kritickou chybu CVE-2026-41940 v cPanel/WHM
Kritická zranitelnost CVE-2026-41940 v systému cPanel/WHM je podle bezpečnostních výzkumníků aktivně zneužívána v cílených útocích proti vládním organizacím a hostingovým společnostem. Výzkumníci popsali obejití autentizace, nasazení malwaru, laterální pohyb v sítích i exfiltraci citlivých dat.
Podle serveru Security Affairs je kritická zranitelnost CVE-2026-41940 v systému cPanel/WHM aktivně zneužívána vzdálenými útočníky k obejití autentizace.
Výzkumníci ze společnosti watchTowr uvedli, že cílem útoků jsou především vládní a vojenské organizace v jihovýchodní Asii a také MSP a hostingoví poskytovatelé na Filipínách, v Laosu, ve Spojených státech, Kanadě a Jižní Africe.
Společnost watchTowr zároveň uvedla, že zneužívání této chyby bylo zaznamenáno v reálných útocích, přičemž odkazuje na hlášení společnosti KnownHost. Nadace Shadowserver upozornila, že na internetu mohou být dostupné tisíce zranitelných instancí cPanel/WHM; přesný počet však zatím nebyl potvrzen.
Ctrl-Alt-Intel zachytil útoky 2. května 2026 a spojil je s konkrétní IP adresou a veřejnými PoC
Skupina Ctrl-Alt-Intel zaznamenala aktivní útoky využívající zranitelnost CVE-2026-41940 dne 2. května 2026 a spojila aktivitu s IP adresou 95.111.250[.]175.
Podle výzkumníků útočníci cílili na vládní a vojenské domény na Filipínách a v Laosu a také na MSP a hostingové společnosti. K útokům měly být využity veřejně dostupné PoC skripty watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py a check_session.py. Ctrl-Alt-Intel zároveň identifikovala vystavený „staging“ server útočníků, který umožnil detailnější pozorování celé operace.
Stejný aktér měl podle dostupných záznamů použít vlastní exploit chain proti indonéskému obrannému tréninkovému portálu po získání platných přihlašovacích údajů. Součástí útoku bylo mimo jiné obejití CAPTCHA pomocí hodnot uložených v session cookies.
Útok podle výzkumníků zahrnoval také SQL injection v poli dokumentu a následnou eskalaci až ke vzdálenému spuštění kódu prostřednictvím databáze PostgreSQL, přičemž exfiltrace dat probíhala přes samotnou aplikaci.
Výzkumníci popsali nasazení AdaptixC2, PowerShell reverse shellů a laterální pohyb v síti
Výzkumníci zaznamenali nasazení malwarového payloadu AdaptixC2, použití PowerShell reverse shellu a také perzistenci a pivotaci přes nástroje OpenVPN a Ligolo. Součástí operace bylo i nasazení vlastních linuxových služeb pro dlouhodobé udržení přístupu.
Podle Ctrl-Alt-Intel se útočník následně laterálně přesunul do čínské sítě, interagoval s interními systémy a odcizil přibližně 110 souborů o celkové velikosti 4,37 GB. Mezi odcizenými daty měly být technické dokumenty k železniční elektrifikaci i citlivé osobní údaje včetně identifikačních údajů, bankovních detailů a telefonních čísel.
Zranitelnost umožňuje obejití autentizace v cPanel/WHM
Zranitelnost CVE-2026-41940 představuje kritickou chybu umožňující obejití autentizace v systému cPanel/WHM, která postihuje verze 11.40 a novější, pokud nebyly aktualizovány na opravené buildy vydané společností cPanel.
Chyba umožňuje vzdáleným útočníkům obejít nebo manipulovat autentizační mechanismy a získat přístup do administračního rozhraní bez platných přihlašovacích údajů. Podle Security Affairs to může vést ke správě hostingových nastavení, přístupu k citlivým datům nebo potenciálnímu převzetí plné kontroly nad serverem.
Společnost watchTowr zveřejnila informace o zranitelnosti v týdnu před 4. květnem 2026 a vydala také nástroj Detection Artifact Generator pro identifikaci zranitelných hostitelů. Zároveň uvedla, že zneužívání chyby bylo zaznamenáno v aktivních útocích.
Útoky cílily na vlády, armádní organizace i hostingové společnosti
Podle Security Affairs byly hlavními cíli kampaně vládní a armádní organizace v jihovýchodní Asii a také MSP a hostingoví poskytovatelé na Filipínách, v Laosu, Kanadě, Jižní Africe a Spojených státech.
Ctrl-Alt-Intel zdokumentovala exfiltraci přibližně 110 souborů o velikosti 4,37 GB z čínské sítě, včetně technických dokumentů a osobních údajů.
Nadace Shadowserver zároveň upozornila, že na internetu mohou být stále dostupné tisíce potenciálně zranitelných instancí cPanel/WHM, přesný počet však zatím nebyl nezávisle potvrzen.
Identifikace veřejných PoC nástrojů a konkrétní IP adresy podle výzkumníků naznačuje, že zveřejněná chyba je již aktivně a cíleně zneužívána.
Atribuce útoků zatím nebyla potvrzena
Skupina Ctrl-Alt-Intel nepřisoudila kampaň žádné konkrétní skupině ani státu a uvedla, že atribuce zatím není potvrzena.
Ve skriptech a nástrojích byly nalezeny komentáře ve vietnamštině, výzkumníci však upozornili, že jazykové stopy samy o sobě nepředstavují spolehlivý důkaz původu útočníků.
Společnost watchTowr zveřejnila informace o zranitelnosti v týdnu před 4. květnem 2026 a potvrdila probíhající zneužívání chyby. Ctrl-Alt-Intel zaznamenala aktivní útoky již 2. května 2026. Článek serveru Security Affairs publikoval Pierluigi Paganini dne 4. května 2026.