Ключевые выводы
- С более чем 550 000 работающих серверов cPanel уязвимость CVE‑2026‑41940 остаётся открытой, несмотря на предупреждения.
- По данным Shadowserver, количество подтверждённых компрометированных экземпляров cPanel упало с 44 000 до около 2 000, но новые атаки продолжаются.
- Американское агентство CISA включило уязвимость в каталог Known Exploited Vulnerabilities и требует обновить патч к воскресенью.
- Хакеры используют уязвимость для установки ransomware, оставляя жертвам требование оплаты через чат‑идентификатор.
- Самым надёжным способом защиты является немедленное обновление cPanel/WHM и применение дополнительных слоёв защиты (WAF, 2FA, ограничение доступа к API).
Неделя спустя после официального предупреждения о критической ошибке в популярном управлении веб‑серверами — cPanel & WHM — хакеры продолжают взламывать тысячи сайтов. В статье разберём, как работает эксплоит, сколько серверов уже под контролем злоумышленников и что нужно сделать, чтобы остановить распространение ransomware.
Что представляет собой CVE‑2026‑41940?
Уязвимость CVE‑2026‑41940 относится к компоненту cPanel & WHM, который отвечает за управление хостинг‑аккаунтами через веб‑интерфейс. Ошибка позволяет атакующему выполнить произвольный код на сервере, получив полный доступ к панели управления и, как следствие, к файлам всех хостинг‑клиентов.
Технически баг связан с недостаточной проверкой входных параметров в API‑методе, который используется для обновления конфигураций. При специально сформированном запросе злоумышленник может загрузить свой скрипт, после чего сервер начинает работать как «зомби».
Разработчики cPanel признали уязвимость 30 апреля 2026 года и выпустили патч, однако — по данным независимых сканеров — многие администраторы до сих пор используют уязвимые версии.
Важный момент: уязвимость классифицируется как «отдалённый код‑исполнение», что делает её идеальной для массовых атак без предварительного доступа к серверу.
Сколько серверов уже под угрозой?
По данным проекта Shadowserver, к понедельнику более 550 000 серверов cPanel помечены как потенциально уязвимые. Эта цифра почти не менялась в течение последних нескольких дней, что говорит о низкой скорости обновления со стороны провайдеров.
Тем не менее, количество активных компрометаций заметно снизилось: с 44 000 — записанных в четверг — до порядка 2 000 сейчас. Снижение объясняется как усилением мониторинга, так и тем, что некоторые хакеры уже «перезаписали» свои ботнет‑узлы.
Shadowserver фиксирует каждый обнаруженный компрометированный сервер в своей базе «honeypot», что позволяет отслеживать динамику атак в реальном времени.
Главный вывод: несмотря на падение числа активных инъекций, потенциальная база уязвимых машин остаётся огромной, и новые эксплоиты могут появиться в любой момент.
Как работают злоумышленники: от эксплоита к ransomware
Хакеры используют уязвимость, чтобы установить на сервере собственный backdoor. После получения доступа они разворачивают скрипты, которые сканируют файлы веб‑сайтов в поисках ценных данных и, в конечном итоге, шифруют их.
В результате жертвы видят «рансом-ноут», содержащий чат‑ID (например, в Telegram) для связи с группой преступников. В большинстве случаев ответы от группы задерживаются или вовсе отсутствуют, что делает атаку еще более страшной.
Google уже проиндексировал десятки страниц с подобными заметками о ransomware, где в URL‑ах содержатся хеш‑строки, указывающие на конкретные зашифрованные файлы.
Интересно, что некоторые скомпрометированные сайты уже восстановились и работают нормально, но их репутация в поисковиках пострадала.
Таким образом, цепочка выглядит так: уязвимость → получение доступа → установка бекдора → шифрование файлов → требование выкупа.
Реакция органов безопасности: что делает CISA?
Агентство Cybersecurity and Infrastructure Security Agency (CISA) включило CVE‑2026‑41940 в свой «Known Exploited Vulnerabilities (KEV)» каталог. Это официальное признание того, что уязвимость активно эксплуатируется в дикой природе.
CISA настоятельно рекомендует всем правительственным организациям и публичным сервисам установить патч к воскресенью. В публичных заявлениях агентство пока не уточнило, сколько именно ведомственных серверов уже защищено.
Кроме того, CISA опубликовала набор рекомендаций: отключить неиспользуемые функции API, включить двухфакторную аутентификацию для доступа к панели и использовать WAF (Web Application Firewall) для фильтрации подозрительных запросов.
Для частных компаний обязательность обновления пока не прописана законом, но большинство хостинг‑провайдеров уже объявили о планах «пуш‑обновлений» в ближайшие сутки.
Сколько времени уязвимость существует?
Исследователи обнаружили, что атаки начались задолго до официального раскрытия. По словам генерального директора хостинг‑компании KnownHost (реальное сообщение), их система фиксировала попытки эксплуатации уже 23 февраля.
Это указывает на то, что злоумышленники либо получили ранний доступ к коду, либо использовали похожие уязвимости в предыдущих версиях.
Такая «скрытая» фаза делает задачу обнаружения ещё более сложной: многие администраторы даже не подозревают, что их сервер уже находится под контролем.
Поэтому важно не только установить патч, но и провести полное сканирование на наличие посторонних скриптов.
Если ваш сервер был заражён до обновления, рекомендуется полностью переустановить систему или воспользоваться профессиональными услугами по очистке.
Что делать сейчас: пошаговый план защиты
1. Обновление cPanel/WHM. Скачайте последний патч из официального репозитория и установите его немедленно. Если у вас автоматическое обновление отключено, включите его.
2. Аудит доступа. Проверьте список пользователей, их IP‑адреса и активные сессии в журнале доступа. Отключите все подозрительные аккаунты.
3. Включите 2FA. Двухфакторная аутентификация на панели cPanel/WHM значительно снижает шанс удалённого входа.
4. Защитные слои. Установите WAF (например, ModSecurity) и настройте правила, блокирующие подозрительные запросы к API.
5. Резервные копии. Убедитесь, что у вас есть свежие, офлайн‑резервные копии сайтов. При атаке они позволят быстро восстановить сервис без уплаты выкупа.
6. Мониторинг. Подключите сервисы вроде Shadowserver, AbuseIPDB или собственный IDS/IPS, чтобы получать сигналы о новых компрометированных узлах.
Справка
cPanel & WHM — компания, основанная в 1996 году в США, предоставляет панель управления веб‑хостингом. Сегодня её продукты используют более 60 млн доменов по всему миру. Основная функция — упрощённое администрирование серверов, сайтов и почтовых ящиков через веб‑интерфейс.
Shadowserver Foundation — некоммерческая организация, занимающаяся глобальным сканированием интернета на предмет угроз. Она публикует открытые отчёты о компрометированных устройствах, включая сервера cPanel, и помогает сообществу реагировать на инциденты.
CISA (Cybersecurity and Infrastructure Security Agency) — агентство Министерства внутренней безопасности США, отвечающее за защиту критической инфраструктуры. Его каталог Known Exploited Vulnerabilities собирает самые опасные уязвимости, активно эксплуатируемые злоумышленниками.
CVE‑2026‑41940 — идентификатор уязвимости, присвоенный в базе Common Vulnerabilities and Exposures. Описание указывает на возможность удалённого выполнения кода в компонентах API cPanel, что делает её критически важной для всех хостинг‑операторов.
KnownHost — крупный провайдер управляемого хостинга, основанный в 2005 году. Генеральный директор Дэниел Пирсон публично сообщил о первых попытках эксплуатации уязвимости в конце февраля, подчеркнув необходимость раннего реагирования.
Ransomware «Sorry» — условное название семейства вымогательского ПО, которое часто используют в атаках на веб‑серверы. После шифрования файлов оно оставляет требование выкупа с контактным чат‑ID, обычно в мессенджерах.
Если вы управляете веб‑сайтами или предоставляете хостинг‑услуги, не откладывайте обновление cPanel. Уязвимость CVE‑2026‑41940 уже доказала, что может привести к массовому ransomware‑взлому. Быстрые действия — ваш лучший способ избежать потери данных и репутации.
