В мире хостинга разворачивается настоящий шторм. Критическая уязвимость нулевого дня в панелях управления cPanel и WHM (WebHost Manager) сейчас активно эксплуатируется злоумышленниками по всему миру. Поводом стала публикация готового инструмента для атак, который доступен любому желающему на GitHub. Речь идёт о дефекте, который практически не требует специальных навыков - автоматизированный эксплойт делает всю работу за хакера. Это событие затрагивает десятки тысяч владельцев серверов и хостинг-провайдеров, которые вынуждены срочно принимать меры.
Уязвимость CVE-2026-41940
Уязвимость, зарегистрированная под идентификатором CVE-2026-41940, - это серьёзная ошибка обхода аутентификации в cPanel и WHM. Она получила почти максимальную оценку по шкале опасности. Проблема позволяет удалённому злоумышленнику, даже не имеющему учётных данных, получить полный корневой (root) административный доступ к уязвимому серверу. Корень проблемы кроется в том, как cPanel обрабатывает сессии входа и хранит их на диске. Атакующие могут внедрять последовательности CRLF (возврат каретки и перевод строки) в HTTP-заголовок Authorization. Когда система сохраняет эти данные, подставные поля обманывают cPanel, заставляя её воспринимать фальшивую сессию как полностью аутентифицированного пользователя root. Этот метод полностью обходит как стандартные пароли, так и двухфакторную аутентификацию, не вызывая при этом обычных сигналов тревоги в системах защиты.
Ситуация резко ухудшилась после появления открытого эксплойт-фреймворка под названием cPanelSniper. Его создал исследователь безопасности под псевдонимом Mitsec (ynsmroztas). Этот инструмент написан на Python и автоматизирует сложную четырёхэтапную цепочку действий, необходимую для взлома сервера. cPanelSniper умеет генерировать сессии до прохождения аутентификации, внедрять вредоносную CRLF-нагрузку (полезная нагрузка) и сбрасывать системный кеш для активации подставной административной сессии. После завершения атаки инструмент предоставляет оператору интерактивную командную оболочку. Это даёт немедленную возможность выполнять команды операционной системы, менять пароль root, просматривать список размещённых аккаунтов и создавать бэкдоры (скрытые учётные записи администратора) с минимальными усилиями.
Доступность такого автоматизированного средства спровоцировала массовые оппортунистические атаки по всему интернету. Организация Shadowserver Foundation, известная своим мониторингом киберугроз, сообщила об интенсивной эксплуатационной активности, направленной на незащищённые экземпляры cPanel. Их ханипоты (ловушки для изучения атак) выявили как минимум 44 тысячи уникальных IP-адресов, которые, по всей видимости, были успешно скомпрометированы. Более того, эти заражённые серверы сейчас превращаются в ботнет - их используют для сканирования интернета и запуска новых атак на другие уязвимые системы. Учитывая, что в глобальной сети насчитывается более полутора миллионов экземпляров cPanel, пул потенциальных целей остаётся чрезвычайно большим.
Последствия этой уязвимости сложно переоценить. Любой сервер с устаревшей версией cPanel или WHM, который доступен из интернета, может быть взят под контроль за считанные минуты. Злоумышленники получают полный доступ к всем размещённым на нём сайтам, базам данных, почтовым ящикам. Это грозит утечкой конфиденциальной информации, кражей данных клиентов хостинг-компаний, рассылкой спама и размещением вредоносного кода. Особенно опасно то, что скомпрометированные серверы становятся частью ботнета и используются для атак на других. Таким образом, один необновлённый сервер может стать причиной заражения сотен соседних.
Операторам серверов необходимо немедленно предпринять экстренные меры. Прежде всего, следует обновить установки cPanel, WHM и сопутствующих компонентов (например, WP Squared) до последних исправленных версий. Уязвимость затрагивает все основные поддерживаемые ветки релизов. Тем, у кого отключены автоматические обновления, нужно провести ручную установку патча в абсолютном приоритете. Для поиска следов атаки специалистам по безопасности стоит тщательно проверить директории сессий на сервере. Конкретно, нужно искать подозрительные артефакты внутри сессий до аутентификации, неожиданные состояния токенов или неправильно оформленные многострочные записи паролей - такие признаки указывают на успешную CRLF-инъекцию. Простая замена паролей без обновления не поможет, потому что уязвимость позволяет вообще обходить аутентификацию.
К сожалению, публикация эксплойта в открытом доступе сделала эту угрозу массовой. Теперь атаки происходят не только целенаправленно на крупные компании, но и на любые серверы, которые можно найти сканированием. Каждый владелец сервера на cPanel должен действовать быстро, иначе его система пополнит растущий список жертв. Ситуация напоминает лавину: чем больше серверов оказывается скомпрометировано, тем больше появляется узлов для новых атак. Поэтому сейчас критически важно не только закрыть уязвимость на своём оборудовании, но и проверить, не произошло ли уже заражение. Пассивное ожидание здесь может стоить очень дорого.
Ссылки
- https://github.com/ynsmroztas/cPanelSniper
- https://www.cve.org/CVERecord?id=CVE-2026-41940
- https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026
- https://docs.wpsquared.com/changelogs/versions/changelog/#13617
