- 26,521
- 46
- 8 Ноя 2022
Владельцы буквально оказались в ловушке между хакерами и хостерами.
CISA внесла критическую уязвимость в cPanel в каталог активно эксплуатируемых проблем. Для владельцев сайтов это плохая новость: атакующие добрались до одной из самых популярных панелей управления хостингом ещё до того, как многие администраторы успели установить исправление.
Уязвимость получила идентификатор CVE-2026-41940 и оценку 9,8 балла по шкале CVSS. Проблема затрагивает все поддерживаемые версии cPanel и WebHost Manager после 11.40, а также WP Squared - слой управления WordPress, построенный поверх той же платформы. Успешная атака может дать злоумышленнику полный контроль над сервером.
Американское агентство по кибербезопасности CISA добавило CVE-2026-41940 в каталог Known Exploited Vulnerabilities в четверг. Попадание в KEV означает, что уязвимость уже используют в реальных атаках, а не только проверяют в лаборатории. cPanel выпустила исправление во вторник, но эксплуатация началась раньше.
Хостинг-провайдер KnownHost описал ситуацию резче. Компания предупредила клиентов, что фиксировала успешную эксплуатацию ещё до выхода патча. Глава KnownHost Дэниел Пирсон написал на Reddit, что попытки выполнить код через уязвимость заметили уже 23 февраля 2026 года. Провайдер посоветовал ограничить доступ к cPanel и WHM, а системы без обновления считать потенциально скомпрометированными.
Namecheap выбрал более жёсткую, но понятную меру: компания временно закрыла доступ к cPanel и WHM, чтобы перекрыть путь атаки до установки исправлений. После выхода патчей провайдер начал разворачивать обновления.
Первые сообщения показывают, что злоумышленники используют брешь не только для скрытого доступа или кражи данных. Владелец малого бизнеса рассказал на Reddit, что его компания столкнулась с вымогательским ПО после работы на обычной конфигурации cPanel. По его словам, хостинг-провайдер с трудом справлялся с последствиями инцидента, а атакующие потребовали $7000 за разблокировку систем.
Этот случай пока описан только со слов пострадавшего владельца бизнеса, но детали хорошо показывают возможный риск. Если злоумышленники действительно использовали CVE-2026-41940 для запуска шифровальщика, уязвимость уже вышла за пределы точечных попыток доступа. Для массовой хостинговой платформы такой сценарий особенно опасен: один успешный эксплойт может затронуть сайты небольших компаний, магазинов, блогов и сервисов, где нет собственной команды безопасности.
Точный масштаб атак пока неизвестен. Rapid7 проверила данные Shodan и нашла около 1,5 миллиона экземпляров cPanel, доступных из интернета. Платформа лежит в основе хостинга для десятков миллионов сайтов, поэтому даже небольшая доля уязвимых установок превращает CVE-2026-41940 в крупную проблему для провайдеров и клиентов.
Малому бизнесу сложнее всего из-за зависимости от хостинг-провайдера. Владелец сайта может закрыть лишний доступ, проверить журналы и запросить статус патча, но саму платформу обычно обслуживает хостер. Пока исправление не установлено, рекомендация срочно обновиться для многих превращается в ожидание, хотя атакующие уже используют брешь в рабочих системах.
CISA внесла критическую уязвимость в cPanel в каталог активно эксплуатируемых проблем. Для владельцев сайтов это плохая новость: атакующие добрались до одной из самых популярных панелей управления хостингом ещё до того, как многие администраторы успели установить исправление.
Уязвимость получила идентификатор CVE-2026-41940 и оценку 9,8 балла по шкале CVSS. Проблема затрагивает все поддерживаемые версии cPanel и WebHost Manager после 11.40, а также WP Squared - слой управления WordPress, построенный поверх той же платформы. Успешная атака может дать злоумышленнику полный контроль над сервером.
Американское агентство по кибербезопасности CISA добавило CVE-2026-41940 в каталог Known Exploited Vulnerabilities в четверг. Попадание в KEV означает, что уязвимость уже используют в реальных атаках, а не только проверяют в лаборатории. cPanel выпустила исправление во вторник, но эксплуатация началась раньше.
Хостинг-провайдер KnownHost описал ситуацию резче. Компания предупредила клиентов, что фиксировала успешную эксплуатацию ещё до выхода патча. Глава KnownHost Дэниел Пирсон написал на Reddit, что попытки выполнить код через уязвимость заметили уже 23 февраля 2026 года. Провайдер посоветовал ограничить доступ к cPanel и WHM, а системы без обновления считать потенциально скомпрометированными.
Namecheap выбрал более жёсткую, но понятную меру: компания временно закрыла доступ к cPanel и WHM, чтобы перекрыть путь атаки до установки исправлений. После выхода патчей провайдер начал разворачивать обновления.
Первые сообщения показывают, что злоумышленники используют брешь не только для скрытого доступа или кражи данных. Владелец малого бизнеса рассказал на Reddit, что его компания столкнулась с вымогательским ПО после работы на обычной конфигурации cPanel. По его словам, хостинг-провайдер с трудом справлялся с последствиями инцидента, а атакующие потребовали $7000 за разблокировку систем.
Этот случай пока описан только со слов пострадавшего владельца бизнеса, но детали хорошо показывают возможный риск. Если злоумышленники действительно использовали CVE-2026-41940 для запуска шифровальщика, уязвимость уже вышла за пределы точечных попыток доступа. Для массовой хостинговой платформы такой сценарий особенно опасен: один успешный эксплойт может затронуть сайты небольших компаний, магазинов, блогов и сервисов, где нет собственной команды безопасности.
Точный масштаб атак пока неизвестен. Rapid7 проверила данные Shodan и нашла около 1,5 миллиона экземпляров cPanel, доступных из интернета. Платформа лежит в основе хостинга для десятков миллионов сайтов, поэтому даже небольшая доля уязвимых установок превращает CVE-2026-41940 в крупную проблему для провайдеров и клиентов.
Малому бизнесу сложнее всего из-за зависимости от хостинг-провайдера. Владелец сайта может закрыть лишний доступ, проверить журналы и запросить статус патча, но саму платформу обычно обслуживает хостер. Пока исправление не установлено, рекомендация срочно обновиться для многих превращается в ожидание, хотя атакующие уже используют брешь в рабочих системах.
- Источник новости
- www.securitylab.ru
