cPanel CVE-2026-41940 Атакує Державні Сервери — Встановіть Патч Негайно

Головне питання, яке цього тижня постає перед кожним керівником інфраструктури, — не те, чи встановлено патч для cPanel, а те, чи мають взагалі спільні хостингові панелі керування бути поруч із регульованими робочими навантаженнями. Обхід автентифікації з рейтингом CVSS 9.8 був використаний в реальних атаках ще до того, як вендор випустив виправлення, а кампанія, що скористалася цією вразливістю, проникла до індонезійських оборонних систем і викрала 4,37 ГБ даних, пов'язаних із китайськими державними структурами. Для будь-якої команди, яка використовує cPanel/WHM як ключовий компонент, наступні 90 днів — це про умови контрактів, аудиторську позицію та консолідацію постачальників, а не лише про цикли виправлень.

Це одна з тих подій, де технічні деталі та рішення щодо закупівель зливаються в одну розмову. Ради директорів будуть питати. Юридичні радники будуть питати. Чесна відповідь передбачає переосмислення того, хто відповідає за хостинговий рівень.

Що Сталося

Як повідомив CyberSecurityNews 2 травня, кампанія зосередилася на CVE-2026-41940 — критичному обході автентифікації в cPanel та WHM, що зачіпає всі версії після v11.40. Вразливість експлуатує CRLF-ін'єкцію в процесах входу та завантаження сесій, дозволяючи неавтентифікованому зловмиснику маніпулювати cookie whostmgrsession і отримувати повний адміністративний доступ рівня root без будь-яких дійсних облікових даних. Патч cPanel вийшов 28 квітня 2026 року. Експлуатація вже відбувалась у реальних умовах. CISA незабаром додала CVE до свого каталогу Known Exploited Vulnerabilities.

Вразливість cPanel була лише вхідними дверима. Дослідники Ctrl-Alt-Intel виявили кастомний ланцюжок експлойтів, спрямований проти навчального порталу індонезійського оборонного сектору. Зловмисник обійшов CAPTCHA порталу, зчитавши очікуване значення безпосередньо з виданого сервером cookie сесії, а потім впровадив SQL через поле імені документа у вразливому ендпоінті збереження. Далі зловживання можливістю PostgreSQL COPY ... TO PROGRAM ескалювало SQLi до повного доступу до операційної системи. Результати потрапляли до /tmp, кодувалися в base64 та повторно завантажувалися в записи додатку через pg_read_file() — канал ексфільтрації, вбудований у рівень бази даних.

Скрипт exploit_siak_bahasa.py (SHA-256 префікс 974E272A) містив коментарі в'єтнамською мовою. Ctrl-Alt-Intel застерегли, що цього недостатньо для атрибуції, і що це може бути навмисне введення в оману. Для C2 зловмисник розгорнув ELF-бінарний файл AdaptixC2 під назвою "1", що надсилав маяк на delicate-dew.serveftp[.]com:4455, при цьому телеметрія вказувала на 95.111.250[.]175. PowerShell-реверс-шел init.ps1 відкривав TCP-з'єднання з тією самою IP на порту 4444. Постійний доступ забезпечувався через OpenVPN-сервер, розгорнутий ще 8 квітня 2026 року, а також Ligolo-проксі, прихований у /usr/local/bin/.netmon/ та замаскований під systemd-update.service. Звідти зловмисник дістався до внутрішнього хоста 10.16.13.88 і використав exfil_docs_v2.sh для викрадення 110 файлів загальним обсягом близько 4,37 ГБ з Комітету електрифікації Китайського залізничного товариства, включно з фінансовими книгами за 2021 рік із повними іменами, національними ідентифікаційними номерами КНР, банківськими реквізитами та номерами телефонів. Shadowserver Foundation підтвердила 30 квітня, що 44 000 унікальних IP-адрес було зафіксовано під час сканування, експлуатації або брутфорсу проти їхніх honeypot-систем.

Технічна Анатомія

Цікавий аспект цього інциденту з погляду архітектури платформи — наскільки чисто зловмисник використовував кожен рівень як черговий будівельний блок. CRLF-ін'єкція в процедуру завантаження сесії — це старий клас помилок. Вона вижила в cPanel тому, що хостингові панелі керування накопичують роками логіку сесій, яку ніхто не хоче рефакторити. Результат: єдина помилка в обробці заголовків дає root на сервері. Не ізольований компроміс орендаря. Root.

Фаза з індонезійським порталом демонструє ту саму закономірність на рівні додатку. Значення CAPTCHA, що повертається в cookie сесії, — це дизайнерське рішення, яке, мабуть, заощадило якомусь молодшому інженеру двадцять хвилин у 2019 році й тепер коштувало оборонному міністерству всієї навчальної інфраструктури. Потім SQL-ін'єкція в поле імені документа, що точно потрапляє в зону OWASP Top Ten A03, ескалюється через PostgreSQL COPY ... TO PROGRAM. Ця функція задокументована, вона навмисна, і саме такі можливості бази даних ніколи не повинні бути доступні з ролі додатку в системі, що обробляє оборонні дані. Використання pg_read_file() для передачі результатів через записи додатку — це те, що я б назвав зрілим оперативним мистецтвом. Воно дозволяє уникнути появи нових вихідних каналів під час фази SQLi та тримати всю ескалацію в межах довіри, яку WAF вже ігнорує.

Стек постійного доступу заслуговує на вивчення. OpenVPN на UDP/1194, Ligolo як фіктивний systemd-юніт, AdaptixC2 через безкоштовний dynamic-DNS hostname та PowerShell-резервний варіант. Чотири механізми повторного входу, що перекриваються, — кожен дешевий, кожен правдоподібно заперечуваний окремо. У зіставленні з MITRE ATT&CK ми бачимо T1190 для початкового доступу, T1505.003 для постійного доступу суміжного з web shell, T1021 для горизонтального переміщення та T1048 для ексфільтрації через альтернативний протокол. Нічого нового. Все оперативно щільно. Це команда, яка знає: спільні хостингові середовища та державні портали мають той самий профіль слабкості — недостатньо сегментовані бекенди PostgreSQL та надто довірені cookie сесій.

Хто Постраждає

Три категорії знаходяться в зоні ураження. По-перше, кожен регіональний хостер, MSP і реселер, що досі використовує cPanel/WHM як основу свого мультитенантного бізнесу. 44 000 IP-адрес, що сканували, — це сигнал попереднього позиціонування. Якщо ви продаєте спільний хостинг державним органам, закладам освіти або фінансовим посередникам на будь-якому ринку APAC, ваш портфель продажів щойно змінив форму. Команди із закупівель почнуть запитувати про походження панелей керування, і відповідь "ми використовуємо cPanel" перестане бути прийнятною для чутливих робочих навантажень.

По-друге, оператори у сферах фінтеху та iGaming, які успадкували середовища на базі cPanel через поглинання або застарілі відносини white-label. Я неодноразово бачив цю закономірність під час due diligence: регульована організація використовує чистий стек Kubernetes, але залежний бренд або маркетинговий підсайт досі живе на cPanel-сервері, про який платформна команда забула. Цей сервер тепер є кандидатом на CVE-2026-41940 і очікуваним інцидентом, що підлягає розкриттю регулятору. Питання юніт-економіки пряме: яка повна вартість утримання застарілого середовища ще один квартал порівняно з витратами на примусовий міграційний спринт?

По-третє, оборонні та державні портали в Південно-Східній Азії. Компрометація індонезійського навчального порталу буде повторена. Шаблони CAPTCHA-в-cookie та відкритий доступ до PostgreSQL COPY ... TO PROGRAM — це не індонезійські проблеми, це ціле покоління державних веб-стеків, побудованих приблизно між 2016 і 2021 роками.

CFO в будь-якій із цих організацій цього тижня має запитати керівника платформи: який наш загальний обсяг cPanel/WHM у кількості інстанцій, орендарів і класифікацій регульованих даних, і скільки коштує або встановити патч і моніторити, або мігрувати і вивести з експлуатації протягом 60 днів? Ця цифра визначає весь подальший діалог. Якщо ваш керівник платформи не може відповісти в конкретних одиницях — у вас проблема з видимістю, а не з патчингом.

План Дій для Команд з Безпеки

Спочатку встановіть патч, але не зупиняйтеся на цьому. Патч зачиняє двері, але не повідомляє, хто вже пройшов через них. Витягніть журнали сесій і доступу з кожного інстансу cPanel/WHM щонайменше з початку квітня 2026 року та виконайте grep на аномалії в обробці cookie whostmgrsession і несподівані CRLF-послідовності в процесах входу. Вважайте компрометованим будь-який зовнішньо доступний інстанс, який не був захищений суворим WAF до 28 квітня.

Цілеспрямовано полюйте на IoC кампанії. Заблокуйте та сповіщайте про 95.111.250[.]175 на всіх точках виходу. Шукайте вихідні з'єднання до delicate-dew.serveftp[.]com на TCP/4455 і TCP/4444. Перевіряйте наявність прихованих директорій, що відповідають /usr/local/bin/.netmon/, і systemd-юнітів з іменем systemd-update.service, які не відповідають вашому еталонному образу. Інвентаризуйте OpenVPN-слухачів на UDP/1194, яких ви самі не розгортали.

На рівні архітектури прискоріть перевірку ролей бази даних. Будь-який PostgreSQL-користувач рівня додатку, який зберігає права COPY ... TO PROGRAM або примітиви читання файлової системи на зразок pg_read_file(), має їх позбутися цього спринту. Це одноденна зміна з надзвичайно великою віддачею. Поки ви там, позбавтеся будь-якого шаблону, що передає очікувані значення CAPTCHA або інший стан серверного виклику всередині cookie сесій.

Для керівників платформ із відносинами з постачальниками — це момент для дій. Поновлення контрактів із провайдерами на базі cPanel мають потрапити на стіл юридичного радника з новими пунктами щодо термінів розкриття інформації про експлойти, обміну IoC та допомоги в міграції. CVE експлуатувалася до виходу патча. Цей факт сам по собі змінює розмову про SLA.

Ключові Висновки

• CVE-2026-41940 — це шлях до неавтентифікованого root-доступу в cPanel/WHM з рейтингом CVSS 9.8, що експлуатувався в реальних умовах до патча від 28 квітня і тепер включений до каталогу KEV CISA.
• Кампанія поєднала вразливість cPanel з кастомним експлойтом проти індонезійського оборонного порталу, ескалювавши SQLi через PostgreSQL COPY ... TO PROGRAM до повного доступу до ОС.
• Постійний доступ забезпечувався через AdaptixC2, OpenVPN з 8 квітня та Ligolo-проксі, замаскований під systemd-update.service, з ексфільтрацією 110 файлів (~4,37 ГБ) даних китайських залізниць.
• Shadowserver зафіксувала 44 000 унікальних IP-адрес під час сканування та експлуатації проти honeypot-систем, що сигналізує про активність масштабу commodity.
• Стратегічне питання для CTO і CFO полягає в тому, чи можна захистити застарілі середовища cPanel для регульованих робочих навантажень, або чи змушує ця CVE прийняти рішення про міграцію, яке вже давно назрівало.

Команди, що оцінюють свою стратегію хостингу та панелі керування, тепер мають поставити собі чіткіше запитання: не "чи встановлено у нас патч від CVE-2026-41940", а "яким бізнесом ми досі займаємося, що нам взагалі потрібно використовувати cPanel".