SchwachstellenHackerangriffeCloud-Sicherheit

Kritische cPanel-Lücke: Monatelange Exploits gefährden Millionen Server

Von CyberDeutsch Redaktion
Kritische cPanel-Lücke: Monatelange Exploits gefährden Millionen Server
Zusammenfassung

Eine kritische Sicherheitslücke in cPanel & WHM, der weltweit populären Server- und Website-Management-Plattform, wird seit Februar 2026 aktiv ausgenutzt. Die als CVE-2026-41940 bezeichnete Authentifizierungslücke mit einem CVSS-Wert von 9,8 ermöglicht es unauthentifizierten Angreifern, administrative Vollzugriffe auf verwaltete Server zu erlangen und diese komplett zu übernehmen. Etwa 1,5 Millionen cPanel-Instanzen sind potenziell gefährdet. Besonders gravierend: Die Schwachstelle betrifft nahezu alle Softwareversionen nach 11.40 und wurde monatelang von Cyberkriminellen ausgenutzt, bevor cPanel erst am 28. April zur sofortigen Aktualisierung mahnte. Für deutsche Hosting-Anbieter, kleine und mittlere Unternehmen sowie Behörden, die auf cPanel-basierten Servern ihre Websites und Datenbanken betreiben, stellt dies ein erhebliches Risiko dar. Ein erfolgreicher Exploit könnte nicht nur einzelne Websites kompromittieren, sondern auf Shared-Hosting-Servern alle gehosteten Seiten gefährden und zu Datendiebstahl, Malware-Verbreitung oder vollständiger Infrastrukturübernahme führen. Betroffene müssen unverzüglich auf gepatchte Versionen aktualisieren.

Die Authentifizierungslücke CVE-2026-41940 in cPanel & WHM ist nicht irgendeine Sicherheitslücke – sie ist eine der kritischsten, die in den vergangenen Monaten entdeckt wurde. Das Besondere und Gefährliche: Angreifer brauchten nicht einmal legitime Zugangsdaten. Ein einfacher Trick mit manipulierten Cookies reichte aus, um als Administrator erkannt zu werden.

Wie das Sicherheitsunternehmen WatchTowr herausfand, funktioniert die Exploit-Methode elegant und tückisch zugleich: Wenn ein Benutzer sich vergeblich anzumelden versucht, schreibt der cPanel-Dienst eine Sitzungsdatei auf die Festplatte. Durch das Manipulieren eines Authorization-Header können Angreifer spezifische Parameter in diese Datei injizieren und dann ein Reload auslösen – schon sind sie authentifiziert, mit Plaintext-Zugangsdaten im System hinterlegt.

Das Zeitfenster der Unsicherheit ist beängstigend lang: Erste Berichte deuten darauf hin, dass die Lücke seit dem 23. Februar 2026 aktiv ausgenutzt wird. Die Offenlegung erfolgte aber erst am 28. April – ein Vorsprung von über zwei Monaten für Angreifer. In dieser Zeit konnten Hacker Millionen von Servern kompromittieren, deren Administratoren nichts von der Gefahr wussten.

Für deutsche Hosting-Provider wie lokale Angebote und deren Kunden ergeben sich daraus mehrere kritische Szenarien: Auf Shared-Hosting-Servern könnte ein Angreifer nicht nur eine Website kompromittieren, sondern möglicherweise alle darauf gehosteten Websites sowie Kundendaten zugreifen. Das hat unmittelbare DSGVO-Konsequenzen – eine solche Datenpanne müsste der Bundesdatenschutzbeauftragte (BfDI) innerhalb von 72 Stunden benachrichtigt werden, mit Bußgeldern bis zu vier Prozent des Jahresumsatzes im schlimmsten Fall.

Die Reaktion der Branche war schnell: Namhafte Hosting-Provider wie KnownHost, HostPapa, InMotion und Namecheap sperrten sofort den Zugang zu cPanel & WHM, um Patches einzuspielen. cPanel veröffentlichte mehrere gepatchte Versionen ab 11.86.0.41 aufwärts. Zusätzlich stellte das Unternehmen ein Erkennungsskript zur Verfügung, und WatchTowr entwickelte ein Detection Artifact Generator-Tool.

Deutsche Administratoren sollten sofort prüfen, ob ihre Systeme betroffen sind, und Updates einspielen. Das BSI empfiehlt zudem, Logdateien auf Anzeichen von Kompromittierung zu überprüfen. Für unsupported cPanel-Versionen gibt es kein Sicherheits-Update – hier ist ein dringender Systemupgrade erforderlich.

Ähnliche Artikel