SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Sicherheitslücke in cPanel und WHM wird aktiv ausgenutzt – Millionen Server gefährdet

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in cPanel und WHM wird aktiv ausgenutzt – Millionen Server gefährdet
Zusammenfassung

Eine kritische Authentifizierungslücke in cPanel und WHM wird derzeit aktiv von Angreifern ausgenutzt. Die Sicherheitslücke CVE-2026-41940 ermöglicht es, sich ohne gültiges Passwort in die Verwaltungsoberflächen einzuloggen, indem eine fehlerhafte Verarbeitung von Eingaben in den Sitzungsdateien ausgenutzt wird. Laut Berichten wurden erste Angriffsversuche bereits seit Ende Februar beobachtet, bevor cPanel am 28. April einen Patch veröffentlichte. Die Schwachstelle betrifft etwa 1,5 Millionen exposierte cPanel-Instanzen weltweit. Für deutsche Nutzer und Unternehmen ist dies besonders relevant, da viele kleinere und mittlere Webhoster im deutschsprachigen Raum auf cPanel bauen. Eine erfolgreiche Ausnutzung gewährt Angreifern vollständige Kontrolle über den Server, alle gehosteten Websites, Datenbanken und Konfigurationen. Betroffene Unternehmen sollten unverzüglich aktualisieren oder zumindest den externen Zugriff auf die relevanten Ports blockieren. Die Veröffentlichung technischer Details und Exploit-Code erhöht das Risiko für noch nicht gepatchte Systeme erheblich. Besonders Behörden und große Unternehmen sollten ihre Hosting-Infrastruktur sofort überprüfen und gegebenenfalls auf Kompromittierung untersuchen.

Die Schwachstelle selbst basiert auf einer sogenannten CRLF-Injection (Carriage Return Line Feed) in den Login- und Session-Prozessen von cPanel und WHM. Wie die Sicherheitsfirma watchTowr in ihrer detaillierten Analyse offenlegte, wird benutzerkontrollierte Eingabe aus dem HTTP-Authorization-Header in Server-seitige Session-Dateien geschrieben, ohne dass eine ordnungsgemäße Validierung oder Sanitization stattfindet. Dies ermöglicht es einem Angreifer, die Authentifizierung zu umgehen und als legitimaler Benutzer in das System zu gelangen.

Vor allem bemerkenswert ist der Zeitpunkt der Offenbarung: cPanel-Anbieter wie KnownHost berichteten, dass erfolgreiche Exploits bereits in der Wildnis zirkulieren, bevor ein Patch verfügbar war. Die Hosting-Plattform Namecheap musste notgedrungen proaktiv Verbindungen zu den cPanel-Ports 2083 und 2087 blockieren, um ihre Kunden zu schützen. Erst am 28. April veröffentlichte cPanel einen offiziellen Fix – unter erheblichem Druck der Hosting-Industrie.

Aufgrunddessen sollten alle Betreiber von cPanel und WHM (Versionen nach 11.40) unmittelbar handeln. cPanel empfiehlt nicht nur das einspielen des Patches, sondern auch einen Neustart des cpsrvd-Services. Wer nicht sofort patchen kann, sollte zumindest externe Zugriffe auf die Ports 2083, 2087, 2095 und 2096 blockieren oder die internen Services cpsrvd und cpdavd deaktivieren.

Zusätzlich hat cPanel ein Erkennungsskript bereitgestellt, mit dem Administratoren prüfen können, ob ihre Systeme bereits kompromittiert wurden. watchTowr hat zudem ein Detection Artifact Generator-Tool entwickelt, das die Anfälligkeit gegenüber CVE-2026-41940 verifiziert. Sollten Indikatoren gefunden werden, empfehlen Experten, alle Sessions zu löschen, Anmeldedaten zurückzusetzen, Logs zu überprüfen und auf Persistenzmechanismen zu untersuchen.

Die Lücke betrifft auch WP Squared, eine spezialisierte Management-Suite für WordPress-Hosting auf cPanel-Basis – was bedeutet, dass auch Betreiber von WordPress-fokussierten Hosting-Umgebungen betroffen sind. Deutsche Webhoster, Agenturen und Unternehmen sollten ihre Infrastruktur sofort überprüfen und Patches einspielen. Bei erfolgreicher Ausnutzung drohen Datenverluste, unbefugter Zugriff auf Kundendaten und – im schlimmsten Fall – DSGVO-konforme Meldepflichten an Aufsichtsbehörden.

Ähnliche Artikel