Luka w autoryzacji cPanel wykorzystywana w atakach – CISA ostrzega przed zagrożeniem

Amerykańska Agencja Cyberbezpieczeństwa i Infrastruktury (CISA) ostrzegła przed aktywnym wykorzystywaniem krytycznej luki w zabezpieczeniach cPanel, popularnej platformy do zarządzania hostingiem webowym. Luka, oznaczona jako CVE-2026-41940, umożliwia atakującym ominięcie procesu uwierzytelniania i uzyskanie nieautoryzowanego dostępu do systemów.

Według ekspertów ds. bezpieczeństwa oraz dostawców usług hostingowych, exploitacja tej podatności rozpoczęła się jeszcze przed wydaniem oficjalnej poprawki. Firma KnownHost, korzystająca z cPanel, potwierdziła, że zaobserwowała udane ataki w środowisku produkcyjnym przed opublikowaniem łatki.

Jak działa atak?

Zespół watchTowr opublikował szczegółową analizę techniczną luki. Problem wynika z niewłaściwego przetwarzania danych wprowadzanych przez użytkownika podczas logowania. Podczas próby uwierzytelnienia, cPanel zapisuje dane z żądania do pliku sesji po stronie serwera przed weryfikacją tożsamości użytkownika.

Atakujący może wstrzyknąć ukryte znaki nowej linii (ang. line breaks) w polu hasła, które cPanel nie usuwa. Pozwala to na wprowadzenie dowolnych danych bezpośrednio do pliku sesji. Następnie, poprzez celowo spreparowane żądanie, wprowadzone dane są promowane do aktywnej pamięci podręcznej sesji, gdzie cPanel traktuje je jako autentyczne. W efekcie system uznaje sesję za uwierzytelnioną i pomija weryfikację hasła, udzielając dostępu bez sprawdzania rzeczywistych danych logowania.

Skala zagrożenia i zasięg podatności

Firma Rapid7 przeprowadziła skanowanie internetu przy użyciu narzędzia Shodan i zidentyfikowała około 1,5 miliona instancji cPanel wystawionych online. Dokładna liczba podatnych systemów pozostaje jednak nieznana. Luka dotyczy wszystkich wspieranych wersji cPanel i WHM wydanych po wersji 11.40, a także WP Squared – panelu do zarządzania hostingiem WordPress opartym na cPanel.

Reakcja branży i dostępne narzędzia ochrony

cPanel wydał poprawkę w ramach regularnego wtorkowego cyklu aktualizacji. Mimo to, atakujący zdążyli już wykorzystać lukę w praktyce. Namecheap, jeden z największych rejestratorów domen i dostawców hostingu, tymczasowo zablokował połączenia na portach 2083 i 2087 (używanych przez cPanel i WHM) do momentu opublikowania łatki, aby chronić swoich klientów.

Firma watchTowr udostępniła narzędzie „Detection Artifact Generator”, które pozwala administratorom sprawdzić, czy ich instancje cPanel pozostają podatne. Ponadto, cPanel opublikował skrypt wykrywający kompromitację, który skanuje pliki sesji pod kątem podejrzanych aktywności, takich jak:

• Sesje z wstrzykniętymi znacznikami czasu autoryzacji;
• Sesje przed uwierzytelnieniem zawierające atrybuty autoryzacji;
• Pola haseł z ukrytymi znakami nowej linii.

Poprawka i zalecenia

cPanel wydał poprawki dla siedmiu gałęzi wersji (od 11.110.0 do 11.136.0) oraz dla WP Squared w wersji 11.136.1. Według oficjalnego komunikatu, poprawka zapewnia automatyczne czyszczenie niebezpiecznych danych wejściowych w głównym procesie zapisu sesji, zamiast polegać na indywidualnym czyszczeniu w różnych częściach kodu. Dodatkowo, zaktualizowano obsługę przypadków braku klucza szyfrującego sesji, który był wykorzystywany przez atakujących do całkowitego pominięcia kodowania haseł.

Podatność otrzymała ocenę 9,8 w skali CVSS, co klasyfikuje ją jako krytyczną. CISA umieściła ją na liście Known Exploited Vulnerabilities (KEV), co nakłada na organizacje obowiązek jak najszybszego zastosowania poprawki.

„To poważne zagrożenie, które może prowadzić do całkowitego przejęcia kontroli nad serwerami hostingowymi. Wszyscy administratorzy powinni natychmiast zaktualizować swoje systemy i zastosować dodatkowe środki ochrony.” – komentarz eksperta ds. bezpieczeństwa.