Критическую уязвимость в cPanel и WebHost Manager уже используют в реальных атаках. По данным QiAnXin XLab, через брешь CVE-2026-41940 злоумышленники получают повышенный контроль над панелью хостинга, крадут учётные данные и ставят бэкдор Filemanager.
Риск касается владельцев сайтов, администраторов хостинга и компаний, которые держат почту, базы данных и клиентские кабинеты на арендованных серверах. Если панель управления не обновлена, компрометация одного аккаунта может быстро превратиться в утечку файлов, паролей и доступов к другим системам.
Что известно об атаке на cPanel
CVE-2026-41940 затрагивает cPanel и WebHost Manager, известный как WHM. Ошибка позволяет обойти проверку подлинности и удалённо получить расширенные права в панели управления.
Исследователи XLab пишут, что атаки начались вскоре после публичного раскрытия уязвимости в конце апреля 2026 года. Они фиксируют не единичные попытки, а массовую автоматизированную эксплуатацию: в кампаниях участвуют более 2 тыс. IP-адресов источников атак по всему миру.
По данным XLab, больше всего таких адресов связано с Германией, США, Бразилией и Нидерландами. Это не значит, что операторы сидят именно там: атакующие часто используют взломанные серверы, облачную инфраструктуру и прокси-цепочки.
Как работает Filemanager и зачем он нужен злоумышленникам
Кампанию связывают с оператором под именем Mr_Rot13. После успешной атаки система получает вредоносный сценарий, который загружает заражающий модуль на Go и добавляет на сервер SSH-ключ для постоянного доступа.
Дальше атакующие ставят PHP web shell (от англ. shell — командная оболочка) — небольшой вредоносный файл на сайте. Через него можно загружать и скачивать файлы, запускать команды и управлять сервером без штатной панели.
Финальный инструмент получил имя Filemanager. Это backdoor (от англ. back door — «чёрный ход»): программа сохраняет скрытый доступ к системе даже после первого взлома. XLab отмечает, что Filemanager работает с Windows, macOS и Linux, то есть оператор кампании не ограничивается одним типом серверов.
Сценарий заражения похож на другие массовые атаки на плохо защищённые устройства. Мы уже разбирали, как ботнет xlabs_v1 заражает Android-устройства через открытый ADB: принцип тот же — сначала найти открытую или уязвимую точку входа, затем закрепиться и расширить контроль.
Какие данные попадают в руки атакующих
В этой кампании злоумышленники охотятся не только за доступом к панели. Вредоносный код собирает историю команд bash, SSH-данные, сведения об устройстве, пароли к базам данных и виртуальные алиасы cPanel.
Отдельный риск — подмена страницы входа. Web shell внедряет JavaScript-код, который показывает пользователю изменённую форму авторизации и отправляет логины с паролями на сервер атакующих. Для владельца сайта это выглядит особенно опасно: внешне страница может почти не отличаться от привычной.
Такая схема бьёт и по посетителям, и по администраторам. Пользователь вводит пароль, думая, что работает с настоящей страницей, а данные уходят злоумышленникам. Это тот же класс угроз, что и фишинг (от англ. phishing — выуживание), только размещённый на уже скомпрометированном сервере.
По данным XLab, часть сведений уходила в небольшую группу в Telegram. Исследователи также нашли признаки старой инфраструктуры: один из доменов управления встречался в PHP-бэкдоре, загруженном на VirusTotal ещё в апреле 2022 года, а сам домен зарегистрировали в октябре 2020-го.
Почему проблема шире одного хостинга
cPanel часто используют малый бизнес, интернет-магазины, студии разработки и частные владельцы сайтов. На одной панели могут лежать сайт, почта, резервные копии, базы данных, FTP-доступы и настройки доменов.
Если атакующий получает контроль над такой панелью, он видит не один пароль, а целую карту цифровой инфраструктуры. Через базу данных можно похитить заказы и контакты клиентов, через почтовые ящики — запустить рассылку от имени компании, через SSH — перейти на соседние сервисы.
Проблему усиливает привычка хранить ключи и пароли в файлах конфигурации. Похожий риск мы описывали в материале про то, как уязвимость Ollama грозит утечкой ключей API и переписок: секреты, которые попали на взломанный сервер, часто открывают доступ к внешним системам.
Обычным пользователям эта история тоже полезна. Запросы вроде «discord web вход» или «discord web version» нередко ведут на поддельные страницы, если человек кликает по рекламе или случайной ссылке. Правило одно: проверяйте адрес сайта и не вводите пароль на странице, которая открылась из сомнительного источника.
Что проверить владельцам сайтов и администраторам
Главный шаг — обновить cPanel и WHM до версии, где CVE-2026-41940 закрыта. Если обновление откладывали, сервер стоит считать потенциально скомпрометированным и проверять глубже, чем обычным антивирусным сканированием.
Администраторам нужно просмотреть неизвестные SSH-ключи, новые файлы в каталогах сайтов, странные PHP-скрипты, изменения страниц входа и подозрительные задания cron. Особое внимание — директориям, куда веб-сервер может записывать файлы.
Пароли после такой проверки лучше сменить пакетно: cPanel, WHM, базы данных, почтовые ящики, FTP/SFTP, SSH, учётные записи администраторов сайта. Если один и тот же пароль использовали в нескольких местах, его нужно заменить везде.
Для работы из кафе, гостиниц и коворкингов стоит шифровать соединение и не передавать админские пароли через открытые сети без защиты. В таких сценариях помогает сервис безопасного интернет-соединения, который снижает риск перехвата данных в публичных сетях.
Практический вывод: чек-лист на сегодня
- Проверьте, какая версия cPanel и WHM стоит на сервере, и установите последние обновления безопасности.
- Найдите и удалите неизвестные SSH-ключи, особенно добавленные недавно.
- Просмотрите файлы сайта на предмет новых PHP-скриптов, web shell и изменённых страниц входа.
- Смените пароли к панели, SSH, базам данных, почте и FTP/SFTP.
- Включите двухфакторную аутентификацию для администраторов, если она доступна.
- Проверьте журналы входа: ищите необычные страны, IP-адреса, время авторизации и массовые ошибки.
- Пересоздайте API-ключи и токены, если они хранились на сервере.
- Настройте регулярные резервные копии и храните их отдельно от основного хостинга.
- Не открывайте панель администрирования по ссылкам из писем и мессенджеров — вводите адрес вручную или используйте закладку.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.