Недавно обнаруженная уязвимость в cPanel эксплуатируется в больших масштабах, предоставляя злоумышленникам доступ к средам веб-хостинга, за которыми многие предприятия могут недостаточно пристально следить. Аналитики утверждают, что этот риск подчеркивает слабую видимость в цепочках поставок хостинга. Ошибка, отслеживаемая как CVE-2026-41940, использовалась для развертывания бэкдоров, внедрения SSH-ключей, кражи учетных данных и компрометации […] — csoonline.com
Недавно обнаруженная уязвимость в cPanel эксплуатируется в больших масштабах, предоставляя злоумышленникам доступ к средам веб-хостинга, за которыми многие предприятия могут недостаточно пристально следить. Аналитики утверждают, что этот риск подчеркивает слабую видимость в цепочках поставок хостинга.
Согласно исследователям из XLab, эта ошибка, отслеживаемая как CVE-2026-41940, использовалась для развертывания бэкдоров, внедрения SSH-ключей, кражи учетных данных и компрометации хостинговых систем. Исследователи связали часть этой активности с давно действующей группой угроз, которую они называют Mr_Rot13.
Для CISO беспокойство вызывает не только сама ошибка, но и ее расположение. cPanel и аналогичные инструменты часто работают на периферии предприятия, управляя веб-сайтами, порталами и размещенными приложениями. Если они открыты в интернете и не контролируются с той же строгостью, что и конечные точки, облачные рабочие нагрузки или основные бизнес-системы, они могут стать привлекательными точками входа для злоумышленников.
«Это классическая атака на уровне агрегатора: вместо того чтобы нацеливаться на отдельные компании, злоумышленники компрометируют централизованный уровень управления, который агрегирует сотни несвязанных арендаторов на одном сервере», — заявил аналитик по кибербезопасности Сунил Варкей.
XLab сообщила, что эксплуатация началась после публичного раскрытия уязвимости в конце апреля. Исследователи зафиксировали более 2000 IP-адресов источников атак, участвовавших в автоматизированных атаках. Активность включала майнинг криптовалюты, развертывание программ-вымогателей, распространение ботнетов, установку бэкдоров и кражу данных, что свидетельствует о широком интересе злоумышленников к этой уязвимости.
Варкей сообщил, что, по оценкам исследователей безопасности, только в первой волне под угрозой могли оказаться более 40 000 серверов.
«Скорость и масштаб эксплуатации после раскрытия CVE-2026-41940 должны показать CISO, что панели управления, доступные из интернета, теперь являются целями для эксплуатации с высоким приоритетом, а не просто административными утилитами», — отметила Сакши Гровер, старший менеджер по исследованиям в IDC Asia Pacific Cybersecurity Services.
Кит Прабху, основатель и генеральный директор Confidis, заявил, что скорость эксплуатации показывает, что у плоскостей управления, доступных из интернета, остается мало или совсем нет времени на реагирование после того, как общественности становится известна критическая ошибка обхода аутентификации.
По его словам, распределенная инфраструктура сканирования и ботнеты упростили масштабирование автоматизации атак, увеличивая вероятность того, что критические уязвимости будут использованы вскоре после их раскрытия.
По данным XLab, Mr_Rot13 действует с низким уровнем обнаружения около шести лет. Его инструментарий включает кроссплатформенную программу удаленного управления, PHP-веб-шеллы, JavaScript-стилеры учетных данных и компоненты, предназначенные для сбора данных SSH, истории bash, паролей баз данных и виртуальных псевдонимов cPanel.
«Многие организации улучшили видимость в отношении конечных точек, облачных рабочих нагрузок и SaaS-платформ, но общий хостинг, панели управления, веб-шеллы и уровни администрирования Linux по-прежнему часто рассматриваются как операционная инфраструктура, а не как поверхности атаки с высоким риском», — сказала Гровер.
Гровер добавила, что проблема также заключается в том, наблюдает ли за этим уровнем вообще подходящий инструментарий. Многие продукты безопасности не развертываются или не настраиваются для активности на уровне cPanel, что может оставить даже зрелые команды безопасности с ограниченной видимостью плоскости управления хостингом.
Риск для предприятий может распространяться за пределы организаций, которые напрямую используют cPanel. Многие компании полагаются на хостинг-провайдеров, поставщиков управляемых услуг, маркетинговые агентства и внешние веб-команды для работы общедоступных сайтов, клиентских порталов, микросайтов и инфраструктуры приложений. Это может затруднить выявление подверженности, когда у команд безопасности нет прямой видимости стека хостинга.
Шаги для команд безопасности
Командам безопасности следует в первую очередь определить, были ли какие-либо серверы cPanel, доступные из интернета, уязвимы в период эксплуатации, сказал Варкей.
Реагирование должно выходить за рамки применения исправления от поставщика и включать ротацию учетных данных, проверку на наличие несанкционированных SSH-ключей, поиск веб-шеллов, анализ аномальных процессов и признаков того, что злоумышленники изменяли страницы входа или внедряли механизмы постоянства.
Прабху заявил, что организации должны рассматривать потенциальную уязвимость как вопрос реагирования на инциденты, а не просто как задачу по управлению исправлениями. Обзор должен включать журналы сеансов и аутентификации, поиск механизмов постоянства, проверку идентификационных данных и учетных записей, анализ компрометации веб-приложений и корреляцию журналов и телеметрии, сказал он.
Командам безопасности следует уделить особое внимание каналам эксфильтрации данных, которые могут не покрываться стандартными инструментами мониторинга, по словам Гровер.
Организациям также следует проверять контент размещенных веб-сайтов на наличие внедренных скриптов и анализировать исходящий трафик на предмет эксфильтрации через Telegram, сказала Гровер. Сообщается, что кампания использовала Telegram для маршрутизации украденных данных, включая историю bash, учетные данные SSH, пароли баз данных и псевдонимы cPanel, которые могут не отслеживаться стандартными инструментами предотвращения утечек данных или мониторинга исходящего трафика.
Для систем управления, доступных из интернета, сроки установки исправлений больше нельзя измерять днями. Командам безопасности необходимо действовать в течение нескольких часов, сказал Варкей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Prasanth Aby Thomas