פגיעות אבטחה חמורה במערכת הניהול cPanel, אחת מפלטפורמות השליטה המובילות לאירוח אתרים באינטרנט, נמצאת כעת בשימוש פעיל על ידי תוקפים. החולשה, שזוהתה כ-CVE-2026-41940, מאפשרת עקיפת מנגנוני האימות ומעניקה גישה למערכות ללא צורך בסיסמה תקפה.
על פי חוקרי אבטחה וספקי אירוח, התקפות כבר מתבצעות בשטח, עוד לפני שפותח תיקון רשמי. סוכנות האבטחה הלאומית האמריקאית (CISA) הוסיפה את הפגיעות לרשימת הפגיעויות המנוצלות בפועל (KEV) ביום חמישי האחרון, מה שמחייב ארגונים לטפל בה באופן מיידי.
כיצד מתבצעת ההתקפה?
החולשה נובעת מטיפול לקוי בקלט משתמש במהלך תהליך ההתחברות. כאשר משתמש מנסה להתחבר למערכת, cPanel שומרת נתונים מהבקשה לקובץ מידע בצד השרת לפני ביצוע אימות זהות. התוקף יכול לנצל זאת על ידי הזרקת שורות חדשות מוסתרות בשדה הסיסמה – תווים שהמערכת לא מסננת כראוי – וכך להזריק נתונים זדוניים ישירות לקובץ זה.
בשלב שני, באמצעות בקשה מעוותת במיוחד, הנתונים המוזרקים מועברים למטמון הפעיל של הפגישה. שם, המערכת מזהה אותם כמידע חוקי ומחשיבה את הפגישה כמאומתת, תוך עקיפת בדיקת הסיסמה לחלוטין. כתוצאה מכך, התוקף מקבל גישה למערכת ללא צורך בסיסמה תקפה.
היקף הפגיעה והפתרונות
סקרי אינטרנט שנערכו על ידי חברת Rapid7 באמצעות מנוע החיפוש Shodan חשפו כ-1.5 מיליון מופעי cPanel חשופים ברשת. עם זאת, מספר המערכות הפגיעות בפועל טרם ידוע. חברת cPanel פרסמה תיקון ביום שלישי האחרון, אך לדברי ספק האירוח KnownHost, התקפות מוצלחות כבר נצפו בטרם פורסם התיקון.
חברת Namecheap, אחת מספקיות הדומיינים והאירוח הגדולות בעולם, נקטה בצעד חריג והחליטה לחסום באופן זמני את החיבורים לפורטטים 2083 ו-2087 של cPanel ו-WHM, כדי להגן על לקוחותיה עד שיתאפשרו עדכוני האבטחה. החברה החלה ליישם את התיקון לאחר פרסומו על ידי cPanel בתחילת השבוע.
מה כולל התיקון?
גרסאות cPanel שפורסמו לאחרונה מטפלות בבעיה בשבעה ענפי גרסאות, החל מגרסה 11.110.0 ועד 11.136.0, וכן בגרסת WP Squared 11.136.1. התיקון מבטיח ניקוי אוטומטי של קלטים מסוכנים בתהליך שמירת הפגישה, במקום להסתמך על כל חלק בקוד לבצע זאת בנפרד. בנוסף, נוספה התמודדות עם מקרים בהם מפתח ההצפנה לפרגיה חסר – מצב שהקוד המקורי לא לקח בחשבון ואפשר לתוקפים לעקוף לחלוטין את מנגנון הצפנת הסיסמאות.
כיצד לבדוק אם המערכת שלכם פגיעה?
חברת watchTowr פרסמה כלים לזיהוי פגיעויות:
- סקריפט לזיהוי חדירות – סורק קבצי פגישות אחר סימני חדירה, כולל פגישות המכילות חותמות זמן מזויפות, מאפייני אימות טרם השלמת האימות ושדות סיסמה עם שורות חדשות מוסתרות.
- כלי יצירת ארטיפקטים לזיהוי – מאפשר למנהלי מערכות לבדוק אם המערכת שלהם עדיין פגיעה.
CISA ממליצה לעדכן את המערכות באופן מיידי ולהחיל אמצעי הגנה נוספים עד להשלמת העדכון. הפגיעות קיבלה ציון 9.8 בסולם CVSS, מה שמצביע על חומרתה הגבוהה.
כתבות קשורות
חולשה קריטית ב-Cisco: קבוצת תקיפה מנצלת פגם חדש במערכות SD-WAN
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
AI מתקדמת: גורם בכיר בפנטגון מכריז על מהפכה במלחמה הקיברנטית
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
גורם בכיר בבית הלבן: אבטחת זהויות קריטית מתמיד בעידן הבינה המלאכותית
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
פוקסקון נאלצת להתאושש מתקיפת סייבר: מפעלים בצפון אמריקה נפגעו
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
אפליקציה לניתוח צואה באמצעות AI ניסתה למכור מאגר תמונות של משתמשיה – והזעזעה את הרשת
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI שובר שיאים: מודלים חדשים מצטיינים במשימות סייבר אוטונומיות
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
ועדת הביטחון של בית הנבחרים חוקרת את מודל הבינה המלאכותית 'מיתוס' של אנטרופיק וסיכוני הסייבר
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
AI ככלי נשק: ההונאות המתקדמות מאיימות על עסקים בעידן הטכנולוגי
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...