Исследователи в области безопасности из WatchTowr обнаружили уязвимость в широко используемом программном обеспечении для управления веб-серверами cPanel и WebHost Manager (WHM). Эта ошибка позволяет хакерам захватывать и получать полный контроль над серверами, на которых работает затронутое ПО. Оно используется десятками миллионов владельцев веб-сайтов по всему миру.
Многие коммерческие компании, предоставляющие веб-хостинг, уже обновили системы своих клиентов. Однако производитель cPanel настоятельно призвал убедиться в наличии обновлений на своих системах, поскольку ошибка затрагивает все поддерживаемые версии программного обеспечения.
cPanel и WHM — это два программных пакета, используемых для управления веб-серверами, на которых размещаются веб-сайты, управляется электронная почта, а также обрабатываются важные конфигурации и базы данных, необходимые для поддержания интернет-домена. Оба пакета имеют глубокий доступ к серверам, которыми они управляют, что позволяет злоумышленнику потенциально получить неограниченный доступ к данным, управляемым затронутым программным обеспечением.
Уязвимость, официально зарегистрированная как CVE-2026-41940, позволяет злоумышленникам удалённо обходить экран входа в систему и получать полный доступ к панели администрирования программного обеспечения.
Анализируя CVE-2026-41940, в WatchTowr обнаружили, что при неудачной попытке входа в систему демон службы cPanel записывает на диск файл предварительной аутентификации, и что злоумышленник может манипулировать cookie-файлом таким образом, чтобы в него в открытом виде записывались контролируемые учётные данные. Эта ошибка позволяет злоумышленнику внедрить определённые символы через заголовок авторизации для записи конкретных параметров в файл сессии, а затем инициировать перезагрузку файла для аутентификации с использованием внедрённых учётных данных.
cPanel опубликовала скрипт обнаружения, а WatchTowr выпустила генератор артефактов обнаружения, чтобы помочь администраторам выявлять признаки компрометации.
В целом, телеметрия Shodan показывает около 1,5 млн. доступных через интернет экземпляров cPanel, которые могут быть подвержены атакам.
Учитывая повсеместное распространение программного обеспечения cPanel и WHM в индустрии веб-хостинга, хакеры могут скомпрометировать потенциально большое количество веб-сайтов, которые не исправили эту уязвимость.
Национальное агентство кибербезопасности Канады заявило, что уязвимость может быть использована для взлома веб-сайтов на серверах общего хостинга, таких как крупные хостинговые компании. Агентство отметило, что «вероятность эксплуатации высока» и что для предотвращения несанкционированного доступа необходимы немедленные действия со стороны клиентов cPanel или их веб-хостинговых компаний.
Гигант веб-хостинга Namecheap, использующий cPanel для управления веб-серверами своих клиентов, заявил, что компания заблокировала доступ к панелям клиентов после обнаружения уязвимости, чтобы предотвратить её эксплуатацию и дать себе время на исправление.
HostGator также заявила, что обновила свои системы и рассматривает эту ошибку как «критическую уязвимость, позволяющую обойти аутентификацию».
Одна из компаний, предоставляющих веб-хостинг, утверждает, что обнаружила доказательства того, что хакеры использовали эту уязвимость в течение нескольких месяцев до того, как были обнаружены попытки взлома.
Генеральный директор KnownHost Даниэль Пирсон заявил, что его компания наблюдала попытки эксплуатации уязвимости ещё с 23 февраля. Компания также сообщила, что на короткое время начала блокировать доступ к системам клиентов, прежде чем установить обновления.
По словам Пирсона, около 30 серверов KnownHost показали признаки несанкционированного доступа из тысяч компьютеров в сети. Пирсон сравнил это с попытками взлома, но не обнаружил признаков активности. cPanel также сообщила о выпуске исправления безопасности для WP Squared, аналогичного инструмента для управления веб-сайтами WordPress.
Ранее сообщалось, что проекты платных систем управления серверами и сайтами cPanel и Plesk с 31 марта 2026 года прекратили обслуживать клиентов из России.
ссылка на оригинал статьи https://habr.com/ru/articles/1030366/