cPanel CVE-2026-41940 атакует государственные серверы — патч срочно

Главный вопрос, который на этой неделе лежит на столе у каждого руководителя инфраструктуры, — не в том, установлен ли патч для cPanel, а в том, допустимо ли вообще использовать хостинговые control plane на общем хостинге рядом с регулируемыми рабочими нагрузками. Обход аутентификации с оценкой CVSS 9.8 был использован в реальных атаках до того, как вендор выпустил исправление. Кампания, построенная на этой уязвимости, проникла в оборонные системы Индонезии и вынесла 4,37 ГБ данных, аффилированных с китайскими государственными структурами. Для любой команды, использующей cPanel/WHM как ключевой компонент, ближайшие 90 дней — это вопрос контрактного использования, аудиторской позиции и консолидации вендоров, а не только патч-циклов.

Это один из тех инцидентов, где технические детали и решение о закупках сливаются в один разговор. Советы директоров будут спрашивать. Юридические отделы будут спрашивать. Честный ответ предполагает переосмысление того, кто управляет хостинговым уровнем.

Что произошло

Как сообщил CyberSecurityNews 2 мая, кампания была сосредоточена вокруг CVE-2026-41940 — критического обхода аутентификации в cPanel и WHM, затрагивающего все версии после v11.40. Уязвимость эксплуатирует CRLF-инъекцию в процессах входа и загрузки сессий, позволяя неаутентифицированному злоумышленнику манипулировать cookie whostmgrsession и получать полный административный доступ на уровне root без предъявления действительных учётных данных. cPanel выпустил патч 28 апреля 2026 года. Эксплуатация уже происходила в реальной среде. CISA вскоре после этого добавила CVE в каталог Known Exploited Vulnerabilities.

Уязвимость cPanel была лишь входной дверью. Исследователи из Ctrl-Alt-Intel обнаружили кастомную цепочку эксплойтов, нацеленную на учебный портал индонезийского оборонного сектора. Злоумышленник обошёл CAPTCHA портала, считав ожидаемое значение прямо из cookie сессии, выданной сервером, затем внедрил SQL через поле имени документа в уязвимом конечном сохраняемом эндпоинте. Далее злоупотребление возможностью COPY ... TO PROGRAM в PostgreSQL позволило эскалировать SQLi до полного доступа к операционной системе. Вывод записывался в /tmp, кодировался в base64 и загружался обратно в записи приложения с помощью pg_read_file() — канал эксфильтрации, нативный для уровня базы данных.

Скрипт exploit_siak_bahasa.py (префикс SHA-256: 974E272A) содержал комментарии на вьетнамском языке. Ctrl-Alt-Intel предупредили, что этого недостаточно для атрибуции и это может быть намеренной дезинформацией. Для C2 злоумышленник развернул ELF-бинарник AdaptixC2 с именем «1», отправляющий маяки на delicate-dew.serveftp[.]com:4455, с телеметрией, указывающей на 95.111.250[.]175. PowerShell-шелл init.ps1 открывал TCP-соединение с тем же IP на порту 4444. Постоянный доступ обеспечивался через OpenVPN-сервер, поднятый не позднее 8 апреля 2026 года, а также через Ligolo-прокси, скрытый в /usr/local/bin/.netmon/ и замаскированный под systemd-update.service. Оттуда злоумышленник добрался до внутреннего хоста 10.16.13.88 и использовал exfil_docs_v2.sh для извлечения 110 файлов общим объёмом около 4,37 ГБ из Электрификационного комитета Общества железных дорог Китая, включая финансовые книги за 2021 год с полными именами, национальными ID гражданина КНР, банковскими реквизитами и номерами телефонов. Shadowserver Foundation подтвердил 30 апреля, что на их honeypots было зафиксировано 44 000 уникальных IP-адресов, осуществлявших сканирование, эксплуатацию или брутфорс.

Техническая анатомия

Интересная часть этого инцидента с точки зрения архитектуры платформы — насколько чисто злоумышленник использовал каждый уровень как простой строительный блок. CRLF-инъекция в процедуру загрузки сессии — это старый класс уязвимостей. Она выжила в cPanel, потому что хостинговые control plane несут годы накопленной сессионной логики, которую никто не хочет рефакторить. Результат: один просчёт в обработке заголовка даёт root на машине. Не ограниченный компромисс тенанта. Root.

Фаза с индонезийским порталом демонстрирует тот же паттерн на прикладном уровне. CAPTCHA-значения, возвращаемые в cookie сессии, — это проектное решение, которое, вероятно, сэкономило младшему инженеру двадцать минут в 2019 году и теперь стоило оборонному министерству его учебной инфраструктуры. Затем SQL-инъекция через поле имени документа, которая попадает прямо в зону OWASP Top Ten A03, эскалируется через COPY ... TO PROGRAM в PostgreSQL. Эта функция задокументирована, она намеренная, и именно такая возможность базы данных никогда не должна быть доступна из роли приложения в системе, работающей с оборонными данными. Использование pg_read_file() для возврата вывода через записи приложения — это то, что я бы назвал зрелым ремеслом. Оно избегает создания новых исходящих каналов в фазе SQLi и удерживает всю эскалацию внутри доверенного периметра, который WAF уже игнорирует.

Стек персистентности заслуживает изучения. OpenVPN на UDP/1194, Ligolo как поддельный systemd-юнит, AdaptixC2 через бесплатный хостнейм с динамическим DNS и PowerShell-фолбэк. Четыре перекрывающихся механизма повторного входа, каждый дешёвый, каждый достоверно отрицаемый в отдельности. В проекции на MITRE ATT&CK: T1190 для первоначального доступа, T1505.003 для персистентности, смежной с веб-шеллом, T1021 для бокового перемещения и T1048 для эксфильтрации через альтернативный протокол. Ничего нового. Всё оперативно выверено. Это команда, которая знает: хостинговые среды общего пользования и государственные порталы имеют одинаковый профиль слабостей — недостаточно сегментированные Postgres-бэкенды и чрезмерно доверенные cookie сессий.

Кто пострадает

Три категории находятся в зоне поражения. Первая — каждый региональный хостер, MSP и реселлер, продолжающий использовать cPanel/WHM как основу своего мультитенантного бизнеса. 44 000 сканирующих IP-адресов, выявленных Shadowserver, — это сигнал предварительного позиционирования. Если вы продаёте shared-хостинг государственным, образовательным или финансовым клиентам на любом рынке APAC, ваш цикл продаж только что изменил форму. Команды по закупкам начнут спрашивать о происхождении control plane, и ответ «мы работаем на cPanel» перестанет быть приемлемым для чувствительных рабочих нагрузок.

Вторая — финтех- и iGaming-операторы, унаследовавшие среды на базе cPanel через поглощения или устаревшие отношения с белыми лейблами. Я неоднократно видел этот паттерн в рамках due diligence: регулируемая организация работает на чистом стеке Kubernetes, но зависимый бренд или маркетинговый субсайт по-прежнему живёт на cPanel-сервере, о котором платформенная команда уже забыла. Этот сервер теперь является кандидатом на CVE-2026-41940 и потенциальным инцидентом, подлежащим раскрытию регулятору. Экономический вопрос прост: какова полная стоимость содержания этого устаревшего парка ещё один квартал по сравнению со стоимостью вынужденного спринта по миграции?

Третья — оборонные и государственные порталы по всей Юго-Восточной Азии. Компрометация индонезийского учебного портала будет воспроизведена. Паттерны CAPTCHA-в-cookie и уязвимость COPY ... TO PROGRAM в PostgreSQL — это не индонезийские проблемы, это целое поколение государственных веб-стеков, построенных приблизительно между 2016 и 2021 годами.

CFO любой из этих организаций на этой неделе должен задать руководителю платформы вопрос: каков наш суммарный охват cPanel/WHM в инстансах, тенантах и классификациях регулируемых данных, и во сколько нам обойдётся патч-и-мониторинг или миграция-и-вывод из эксплуатации в течение 60 дней? Это число определяет весь дальнейший разговор. Если ваш руководитель платформы не может ответить в единицах измерения, у вас проблема с видимостью, а не с патчингом.

Руководство для команд безопасности

Сначала установите патч, но не останавливайтесь на этом. Патч закрывает дверь, но не говорит, кто уже прошёл через неё. Извлеките сессионные и журналы доступа со всех инстансов cPanel/WHM минимум начиная с начала апреля 2026 года и ищите аномалии в обработке cookie whostmgrsession и неожиданные CRLF-последовательности в потоках входа. Считайте скомпрометированным любой внешне доступный инстанс, который не находился за строгим WAF до 28 апреля.

Явно проверьте IoC из кампании. Заблокируйте и настройте оповещения по 95.111.250[.]175 на всех точках выхода. Ищите исходящие соединения с delicate-dew.serveftp[.]com на TCP/4455 и TCP/4444. Проверяйте наличие скрытых директорий, соответствующих /usr/local/bin/.netmon/, и systemd-юнитов с именем systemd-update.service, не совпадающих с вашим эталонным образом. Проведите инвентаризацию слушателей OpenVPN на UDP/1194, которые вы не разворачивали.

На архитектурном уровне ускорьте проверку ролей базы данных. Любой пользователь Postgres на уровне приложения, сохраняющий права COPY ... TO PROGRAM или примитивы чтения файловой системы, такие как pg_read_file(), должен лишиться их в этом спринте. Это однодневное изменение с непропорционально высокой отдачей. Заодно устраните любой паттерн, передающий ожидаемые значения CAPTCHA или другое состояние серверного вызова внутри cookie сессий.

Для руководителей платформ, работающих с вендорами, — сейчас момент для действий. Продления контрактов с провайдерами на базе cPanel должны попасть на стол юридического отдела с новыми пунктами о сроках раскрытия эксплойтов, обмене IoC и помощи в миграции. CVE эксплуатировался до выпуска патча. Этот факт сам по себе меняет разговор об SLA.

Ключевые выводы

• CVE-2026-41940 — это неаутентифицированный путь к root в cPanel/WHM с оценкой CVSS 9.8, эксплуатировавшийся в реальной среде до выхода патча 28 апреля и теперь включённый в каталог KEV CISA.
• Кампания объединила уязвимость cPanel с кастомным эксплойтом против индонезийского оборонного портала, эскалировав SQLi через COPY ... TO PROGRAM PostgreSQL до полного доступа к ОС.
• Персистентность обеспечивалась через AdaptixC2, OpenVPN с 8 апреля и Ligolo-прокси, замаскированный под systemd-update.service, с эксфильтрацией 110 файлов (~4,37 ГБ) данных китайских железных дорог.
• Shadowserver зафиксировал 44 000 уникальных IP-адресов, сканирующих и эксплуатирующих honeypots, что сигнализирует об активности на уровне массовых атак.
• Стратегический вопрос для CTO и CFO — остаются ли устаревшие среды cPanel защищаемыми для регулируемых рабочих нагрузок, или данный CVE вынуждает принять решение о миграции, которое и без того давно назрело.

Команды, оценивающие свою стратегию хостинга и control plane, должны теперь задавать себе более острый вопрос: не «защищены ли мы от CVE-2026-41940», а «в каком бизнесе мы всё ещё находимся, если нам требуется запускать cPanel вообще».