Хакеры массово используют уязвимость cPanel

Уязвимость CVE-2026-41940 в cPanel и WebHost Manager (WHM) — критическая ошибка, которая позволяет злоумышленникам удалённо обходить аутентификацию и получать полный контроль над серверами. Она была обнаружена исследователями из WatchTowr Labs и получила оценку 9,8 балла по шкале CVSS. 

Описание уязвимости

Проблема связана с CRLF-инъекцией в заголовке авторизации и обходом механизма шифрования сессий. Уязвимость существует в процессе входа в систему и позволяет неаутентифицированным удалённым злоумышленникам получить несанкционированный доступ к панели управления. Это даёт возможность управлять размещёнными сайтами, электронной почтой, базами данных и конфигурациями серверов. 

Уязвимость затрагивает все поддерживаемые версии cPanel и WHM после 11.40, а также WP Squared — слой управления WordPress, построенный поверх той же платформы. К уязвимым относятся, например, версии:

• cPanel & WHM 110.0.x до 11.110.0.97;
• cPanel & WHM 118.0.x до 11.118.0.63;
• cPanel & WHM 126.0.x до 11.126.0.54;
• cPanel & WHM 132.0.x до 11.132.0.29;
• cPanel & WHM 134.0.x до 11.134.0.20;
• cPanel & WHM 136.0.x до 11.136.0.5. 

Хронология событий

• 23 февраля 2026 года. Хостинг-провайдер KnownHost зафиксировал первые попытки эксплуатации уязвимости. 
• 28 апреля 2026 года. cPanel выпустила экстренный security release (TSR-2026-0001). 
• 29 апреля 2026 года. Уязвимости был присвоен идентификатор CVE-2026-41940. 
• 30 апреля 2026 года. CISA добавила CVE-2026-41940 в каталог Known Exploited Vulnerabilities (KEV), подтвердив активную эксплуатацию. 
• 1 мая 2026 года. cPanel опубликовала скрипт для обнаружения следов компрометации.

Масштабы атак

По данным некоммерческой организации Shadowserver, по состоянию на понедельник (5 мая 2026 года) более 550 000 серверов работали на cPanel и потенциально были уязвимы. При этом количество вероятно скомпрометированных экземпляров cPanel сократилось с 44 000 в четверг до примерно 2000. 

По информации Rapid7, проверка данных Shodan выявила около 1,5 миллиона экземпляров cPanel, доступных из интернета. 

Исследователи зафиксировали два основных вектора атаки:

1. Развёртывание вариантов Mirai. Вредоносное ПО запускается после компрометации системы и используется как post-exploitation payload. 
2. Кампания по вымогательству. Файлы шифруются и получают расширение .sorry, что соответствует характерным признакам ransomware-активности. 

На более чем 7000 серверов cPanel были обнаружены новые открытые каталоги с изменёнными файлами, что может указывать на масштабную автоматизированную кампанию с использованием уязвимости. 

Действия CISA

Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации уязвимости и добавило её в каталог KEV. CISA потребовало от государственных учреждений установить исправления до 3 мая 2026 года (в рамках Binding Operational Directive 22-01). 

Рекомендации по защите

Немедленно обновите cPanel & WHM до последней версии с исправлением. Для устаревших серверов на CentOS 6 и CloudLinux 6 подготовлена отдельная сборка с исправлением.

Если автоматические обновления отключены или зафиксирована конкретная версия, обновление придётся ставить вручную. Если быстро обновить систему не получается, можно:

• закрыть доступ к портам панели управления на межсетевом экране;
• полностью остановить сервисы cPanel;
• для устаревших версий — как можно быстрее перейти на поддерживаемую ветку. 

После обновления:

• запустите скрипт обнаружения следов компрометации, предоставленный cPanel; 
• проверьте версию cPanel и перезапустите сервис панели; 
• смените пароли для root и всех пользователей WHM;
• проверьте файлы сессий в директориях /var/cpanel/sessions/raw/ и /var/cpanel/sessions/cache/; 
• проведите аудит cron-задач, ключей SSH и пользовательских хуков WHM. 

Дополнительные меры:

• ограничьте доступ к административным интерфейсам WHM (порты 2086/2087) из интернета напрямую. В противном случае организуйте доступ через VPN или ограничьте список разрешённых IP-адресов; 
• настройте аудит и защиту от брутфорса в WHM (Security Center → cPHulk Brute Force Protection); 
• используйте сертифицированные межсетевые экраны для ограничения доступа к портам cPanel, внедрите DLP для контроля передачи данных, обеспечьте защищённое хранение журналов событий. 

Если установить патч невозможно, в качестве временной меры на уровне reverse proxy (nginx, HAProxy) или WAF фильтруйте запросы, содержащие raw \r\n в заголовках Authorization и Cookie. 

Важно: двухфакторная аутентификация (2FA) не защищает от этой уязвимости, так как эксплойт устанавливает параметр tfa_verified=1 в сессии до появления запроса на 2FA.