Критическая уязвимость в cPanel и WHM (CVE-2026-41940) позволяет обойти аутентификацию: атаки зафиксированы, более полутора миллионов серверов под угрозой

Суть уязвимости кроется в механизме обработки сессий в cPanel и WHM начиная с версии 11.40. Разработчик, компания cPanel, уже выпустила исправленные версии для всех поддерживаемых веток, включая продукт DNSOnly, а также для платформы WP Squared (исправление в версии 136.1.7). Национальная база уязвимостей США (NVD) присвоила проблеме оценку 9,8 балла по шкале CVSS v3.1 (стандарт измерения критичности уязвимостей) и 9,3 по версии 4.0 - это категория "критическая". Кроме того, уязвимость классифицирована как CWE-306 - отсутствие аутентификации для критически важной функции.

Специалисты компании Cato Networks, занимающейся облачными решениями для сетевой безопасности, [сообщили] о том, что им удалось наблюдать попытки эксплуатации этой уязвимости в реальных атаках. Cato оперативно выпустила сигнатуры для своей системы предотвращения вторжений (IPS), которые блокируют эксплуатацию, и защитила своих клиентов через механизм виртуального патчинга. Одновременно Cloudflare выпустила экстренное обновление для своего межсетевого экрана веб-приложений (WAF). Это подтверждает, что угроза не осталась гипотетической.

Техническая картина атаки выглядит следующим образом. Злоумышленник сначала отправляет запрос на точку входа, передав параметр login_only=1. Даже если логин неверный, сервер всё равно создаёт предварительную сессию и возвращает cookie с идентификатором. Затем атакующий переиспользует этот идентификатор и манипулирует значением сессии особым образом - в частности, удаляет из определённого поля закодированную запятую (%2c). После этого в заголовке Authorization передаются данные, закодированные в формат Base64 (способ преобразования любых данных в текстовую строку). При декодировании эти данные содержат символы перевода строки и пары "ключ-значение", которые записываются в сессионный файл на сервере. В результате в сессию, которая изначально была неаутентифицированной, добавляются атрибуты, подтверждающие успешную аутентификацию. Последующий запрос заставляет сервер прочитать модифицированный файл, и злоумышленник получает доступ к панели управления без ввода пароля.

Размах потенциально уязвимых систем огромен. Согласно данным, полученным через поисковую систему Shodan (сервис для поиска устройств, подключённых к интернету), в открытом доступе находится около полутора миллионов экземпляров cPanel, которые могут быть подвержены этой уязвимости. Это означает, что под ударом оказались не только крупные хостинговые компании, но и множество небольших провайдеров и владельцев приватных серверов.

Последствия успешной атаки могут быть катастрофическими для всех, кто использует скомпрометированный сервер. Злоумышленник получает возможность изменять содержимое сайтов, похищать базы данных и почтовые ящики, создавать новых пользователей, развёртывать веб-шеллы (скрипты для удалённого управления), закрепляться в системе через планировщик задач cron или SSH-ключи. Особенно опасен данный сценарий для хостинг-провайдеров, где один WHM-сервер управляет десятками и сотнями клиентских аккаунтов. Атака становится мультитенантной - компрометация одного сервера затрагивает всех его клиентов.

Вред от взлома не ограничивается только прямым ущербом. Захваченные домены и серверы могут быть использованы для фишинговых кампаний, размещения вредоносного ПО, кражи учётных данных, внедрения JavaScript-кода для атак на посетителей, а также для манипуляции поисковым ранжированием. Современные злоумышленники всё чаще применяют инструменты искусственного интеллекта для автоматизации этих процессов. Они могут быстро генерировать убедительные фишинговые страницы на нужном языке, подделывать интерфейсы поддержки и создавать множество вариантов вредоносных лендингов. Сама по себе уязвимость CVE-2026-41940 не связана с ИИ, однако после взлома атакующий способен масштабировать злоупотребления с гораздо большей скоростью.

Компания cPanel опубликовала не только патчи, но и временные меры снижения риска. Основная рекомендация - заблокировать входящий трафик на порты 2083, 2087, 2095 и 2096 для тех серверов, которые невозможно пропатчить немедленно. Cato в своей телеметрии также заметила попытки эксплуатации через дополнительные порты, что говорит о нестандартной настройке некоторых серверов. Поэтому важно не только следовать официальным инструкциям, но и проверять, какие службы вообще открыты наружу.

Для обнаружения следов компрометации cPanel предоставила локальный скрипт проверки сессионных файлов в каталоге /var/cpanel/sessions. Администраторам стоит обратить внимание на признаки, перечисленные в документации: одновременное наличие в сессионном файле полей token_denied и cp_security_token, присутствие origin_as_string с методом badpass, наличие tfa_verified=1 без корректного источника, многозначные строки pass= и другие аномалии. Кроме того, Cato определила, что атакующая инфраструктура в основном расположена в Ирландии, Японии и США и связана с такими провайдерами, как DigitalOcean, Amazon и Latitude.sh. Однако полагаться только на IP-адреса не стоит - злоумышленники могут быстро менять оборудование.

Текущая ситуация требует от всех, кто использует cPanel и WHM, немедленных действий. Прежде всего необходимо установить обновления, выпущенные производителем. Если это невозможно, следует реализовать временные ограничения доступа по портам и задействовать средства защиты уровня сети, такие как IPS или WAF. Проверка сессионных файлов на серверах должна стать обязательным этапом вне зависимости от того, были ли замечены атаки. Учитывая масштаб потенциального урона от одной такой уязвимости, промедление может стоить не только данных, но и репутации бизнеса.

IPv4

• 104.234.140.13
• 104.234.140.18
• 104.234.140.28
• 104.234.140.30
• 108.131.133.224
• 134.199.225.24
• 146.190.146.169
• 24.144.95.61