Массовая эксплуатация уязвимости cPanel: тысячи сайтов под угрозой

Спустя почти неделю после того, как разработчики cPanel и WebHost Manager (WHM) сообщили о критической уязвимости в своём программном обеспечении, злоумышленники перешли к массовым атакам. По данным некоммерческой организации Shadowserver, которая непрерывно сканирует интернет на предмет киберугроз, число потенциально уязвимых серверов превышает 550 000 — и этот показатель остаётся стабильным уже несколько дней подряд.

Число подтверждённо скомпрометированных инстансов cPanel к началу недели снизилось примерно до 2 000 — против 44 000 в четверг. Это может говорить как о частичном успехе патчинга, так и о том, что часть атак просто перестала быть видимой для внешних наблюдателей.

Как работает уязвимость и что уже произошло

Уязвимость отслеживается под идентификатором CVE-2026-41940. Баг позволяет атакующему получить полный контроль над сервером через веб-интерфейс панели управления — без сложных технических манипуляций. По сути, злоумышленник может «угнать» сервер, используя штатный инструментарий самой панели.

Издание Bleeping Computer зафиксировало, что поисковик Google проиндексировал десятки сайтов, на которых в какой-то момент отображалось сообщение от хакерской группы с заявлением о шифровании файлов жертвы — классическая схема атаки-вымогателя. Часть этих сайтов сейчас работает в штатном режиме. В записке с требованием выкупа был указан идентификатор чата для связи с атакующими.

Атаки начались значительно раньше публичного раскрытия уязвимости. Генеральный директор хостинговой компании KnownHost Дэниел Пирсон сообщил, что его команда зафиксировала первые попытки эксплуатации ещё 23 февраля — то есть за несколько месяцев до официального предупреждения.

Реакция регуляторов и что это значит для владельцев сайтов

Американское агентство по кибербезопасности и защите инфраструктуры (CISA) в четверг подтвердило факт активной эксплуатации уязвимости и внесло CVE-2026-41940 в свой каталог Known Exploited Vulnerabilities (KEV). Федеральным ведомствам США было предписано установить патч до воскресенья. Выполнено ли это требование — CISA публично не подтвердила.

Сама компания cPanel получила запрос на комментарий, однако содержательного ответа не предоставила. Это само по себе тревожный сигнал: когда вендор молчит на фоне масштабной атаки, администраторам приходится действовать в условиях информационного вакуума.

Для белорусских компаний и IT-специалистов ситуация вполне актуальна. cPanel — одна из наиболее распространённых панелей управления хостингом в сегменте малого и среднего бизнеса, её используют как локальные хостинг-провайдеры, так и компании, самостоятельно управляющие серверной инфраструктурой. Сайты на shared-хостинге с cPanel особенно уязвимы, если провайдер не успел применить обновление безопасности.

Если ваш сайт или инфраструктура клиентов работает на cPanel или WHM, первый шаг — немедленно проверить версию установленного ПО и применить актуальный патч от разработчика. Второй — проверить логи доступа на предмет аномальной активности начиная с конца февраля: именно тогда, по данным KnownHost, атаки уже велись.

Масштаб инцидента наглядно демонстрирует, насколько опасна задержка с патчингом даже на несколько дней. 44 000 скомпрометированных серверов за одни сутки — это не абстрактная статистика, а реальные сайты, данные и деньги конкретных компаний. Скорость, с которой хакеры перешли к промышленной эксплуатации после публичного раскрытия бага, подтверждает: окно для безопасного обновления в подобных случаях измеряется часами, а не неделями.

— По материалам TechCrunch: оригинальная статья. Перевод и адаптация — редакция Digital Business by.