Почему сисадмины по всему миру просто пропустили момент вторжения?
Уязвимость в cPanel, о которой владельцы серверов узнали только в конце апреля, оказалась куда опаснее, чем предполагалось сначала. Как недавно выяснилось, злоумышленники активно использовали брешь для захвата хостинговых серверов аж за два месяца до выхода официального предупреждения, а администраторы даже не подозревали о риске. Масштаб проблемы затронул миллионы сайтов, включая WordPress-проекты, корпоративные сервисы и почтовую инфраструктуру.
Глава KnownHost Дэниел Пирсон сообщил, что первые попытки эксплуатации зафиксировали ещё 23 февраля 2026 года. Публичное предупреждение появилось лишь 28 апреля. За прошедшие 64 дня владельцы серверов не получили ни обновлений безопасности, ни CVE-идентификатора, ни рекомендаций по защите.
Уязвимость получила идентификатор CVE-2026-41940 и оценку 9,8 балла по шкале CVSS. Проблема связана с ошибкой проверки аутентификации в cPanel и WHM. Атакующий мог удалённо получить права root без ввода логина и пароля. После проникновения открывался полный доступ ко всем аккаунтам, доменам, базам данных, электронной почте и конфигурации сервера. На shared-хостинге компрометация одного узла означала доступ сразу к сотням клиентских сайтов.
Под угрозой оказались версии cPanel и WHM от 11.86.0 до 11.136.0, а также WP Squared до версии 136.1.7. Специалисты отмечают, что уязвимый код присутствовал в продукте несколько лет.
Мы в MAX. Простите.
После раскрытия информации злоумышленники быстро развернули массовые атаки. По данным Censys, только 1 мая зафиксировали более 15 тысяч заражённых серверов cPanel и WHM, участвовавших во вредоносной активности. Одни группы распространяли шифровальщик Sorry Ransomware, который переименовывал файлы с расширением «.sorry» и атаковал прежде всего WordPress-сайты. Другие внедряли вариант ботнета Mirai под названием nuclear.x86.
Rapid7 оценила количество потенциально уязвимых серверов примерно в 1,5 миллиона. В Censys насчитали свыше миллиона публично доступных экземпляров cPanel и WHM. Среди провайдеров с наибольшим числом заражённых узлов оказались DigitalOcean, OVH, Hetzner, Vultr и GoDaddy.
30 апреля Агентство по кибербезопасности США CISA внесло CVE-2026-41940 в каталог активно эксплуатируемых уязвимостей KEV и потребовало от федеральных ведомств устранить проблему до 3 мая.
Специалисты предупреждают, что простого обновления недостаточно. Серверы, доступные из интернета в период с февраля по апрель, рекомендуют считать потенциально скомпрометированными и проверять на наличие скрытого вредоносного ПО, несанкционированных SSH-ключей и подозрительных задач cron.