Vulnerabilitatea, identificată ca CVE-2026-41940, permite atacatorilor să preia controlul complet asupra serverelor vulnerabile și să le deturneze prin intermediul panourilor de control. Joi, cercetătorii în securitate au alertat că hackerii au început să compromită serverele care rulează cPanel și WHM, exploatând această breșă. Amploarea daunelor este vizibilă și prin faptul că Google a indexat zeci de site-uri care la un moment dat afișau un mesaj de la un grup de hackeri care pretindeau că au criptat fișierele victimelor, într-un aparent atac ransomware. Unele dintre aceste site-uri se încarcă acum normal.
Nota de răscumpărare includea un ID de chat pentru ca victimele să contacteze hackerii, care nu au răspuns imediat solicitării TechCrunch de comentarii. Agenția pentru Securitate Cibernetică și Infrastructură a SUA (CISA) a avertizat joi că vulnerabilitatea este exploatată activ și a adăugat-o în catalogul său de vulnerabilități cunoscute exploatate (KEV). CISA a cerut agențiilor guvernamentale să aplice patch-ul până duminică. Până la momentul publicării, CISA nu a răspuns solicitării de a confirma dacă agențiile guvernamentale și-au actualizat serverele.
Atacurile împotriva serverelor web care rulează cPanel și WHM au început probabil cu mult înainte de dezvăluirea vulnerabilității. Potrivit lui Daniel Pearson, CEO al KnownHost, compania sa a detectat atacuri încă din 23 februarie. Webpros, compania care dezvoltă cPanel și WHM și care susține că alimentează 60 de milioane de domenii, nu a răspuns solicitării de comentarii.
Această situație subliniază cât de vulnerabile pot fi infrastructurile web atunci când actualizările de securitate nu sunt aplicate rapid. Milioane de site-uri, de la mici bloguri la platforme de comerț electronic, se bazează pe cPanel pentru administrare. O breșă de securitate de această amploare poate duce la pierderi financiare semnificative, furt de date și afectarea reputației. Deși numărul serverelor compromise a scăzut, riscul rămâne ridicat, deoarece multe servere nu au fost încă actualizate.
Este esențial ca administratorii de servere să aplice imediat patch-ul oferit de Webpros și să verifice dacă există semne de compromitere. De asemenea, utilizatorii finali ar trebui să fie conștienți că site-urile pe care le vizitează ar putea fi afectate, deși nu pot face mare lucru direct. Pe măsură ce atacurile cibernetice devin tot mai sofisticate, colaborarea între companii, autorități și utilizatori este crucială pentru a menține un ecosistem digital sigur.
De ce este important:
Această vulnerabilitate demonstrează cât de rapid se pot răspândi atacurile cibernetice atunci când o breșă de securitate este exploatată activ. Cu peste jumătate de milion de servere potențial vulnerabile, impactul poate fi masiv, afectând milioane de utilizatori. Actualizarea promptă a software-ului și monitorizarea constantă a amenințărilor sunt singurele metode eficiente de protecție. În plus, acest caz evidențiază importanța cooperării internaționale în domeniul securității cibernetice, deoarece atacatorii nu respectă granițele.
