CISA setzt Frist: Bundesbehörden müssen kritische cPanel-Lücke bis Sonntag schließen

Zusammenfassung

Die US-Cybersicherheitsbehörde CISA hat alle US-Bundesbehörden angewiesen, bis zum 3. Mai eine als hochgradig kritisch eingestufte Schwachstelle in cPanel & WHM zu beheben. Die Lücke mit der Kennung CVE-2026-41940 betrifft eine zentrale Software zur Verwaltung von Servern und Webseiten. cPanel und WHM gehören WebPros International; über die Linux-basierten Werkzeuge der Web-Hosting-Steuerungssoftware werden Millionen von Domains betrieben. Die Schwachstelle trägt einen CVSS-Wert von 9,8 von 10. Laut den Vorfallreaktionsteams von Rapid7 verschafft eine erfolgreiche Ausnutzung einem Angreifer die Kontrolle über das cPanel-Hostsystem, seine Konfigurationen und Datenbanken sowie die verwalteten Webseiten. CISA bestätigte, dass die Lücke aktiv ausgenutzt wird. Mehrere Sicherheitsfirmen berichten von Tausenden über das Internet erreichbaren cPanel-Instanzen, die verwundbar sein könnten. Neben dem Fix stellte cPanel ein Werkzeug bereit, mit dem Unternehmen prüfen können, ob sie kompromittiert wurden. Das Ausmaß der Reaktion in der Hosting-Branche ist beträchtlich: Zahlreiche große Anbieter haben den Zugang ihrer eigenen Kunden zu ihren Produkten vorübergehend gesperrt, um eine flächendeckende Übernahme zu verhindern.

Die Schwachstelle CVE-2026-41940 betrifft cPanel & WHM, eine Steuerungssoftware für Web-Hosting, die WebPros International gehört. Die Linux-basierten Werkzeuge dienen der Verwaltung von Webseiten und Servern; Millionen von Domains werden über die beiden Lösungen betrieben. Die Lücke ist mit einem CVSS-Wert von 9,8 von 10 bewertet.

Die Vorfallreaktionsteams von Rapid7 erklärten, eine erfolgreiche Ausnutzung verschaffe einem Angreifer die Kontrolle über das cPanel-Hostsystem, dessen Konfigurationen und Datenbanken sowie die darüber verwalteten Webseiten. Fachleute warnten, dass Angreifer die Lücke nutzen könnten, um einen Server vollständig zu übernehmen, Daten zu stehlen oder gehostete Daten zu manipulieren. Auch größere Betriebsstörungen seien möglich.

CISA wies alle Bundesbehörden an, die Lücke bis zum 3. Mai zu schließen, und bestätigte, dass sie bereits aktiv ausgenutzt wird. cPanel veröffentlichte neben dem Fix ein Werkzeug, mit dem Unternehmen feststellen können, ob sie kompromittiert wurden. Mehrere Sicherheitsfirmen sprachen von Tausenden über das Internet erreichbaren, potenziell verwundbaren cPanel-Instanzen.

Erstmals öffentlich hervorgehoben wurde die Schwachstelle in dieser Woche von Sicherheitsforschern bei watchTowr, die zudem ein Werkzeug zur Identifizierung verwundbarer Hosts bereitstellten. Andere Unternehmen legten Belege dafür vor, dass die Lücke bereits seit Februar ausgenutzt wird. Der US-Domain-Registrar Namecheap warnte seine Kunden in dieser Woche in einer Mitteilung, dass die ergriffenen Gegenmaßnahmen den Zugriff auf ihre cPanel- und WHM-Oberflächen vorübergehend einschränken könnten.

Benjamin Harris, CEO von watchTowr, schilderte, dass innerhalb weniger Stunden nach Erscheinen der ersten cPanel-Mitteilung nahezu jeder große Hosting-Anbieter weltweit seine eigenen Kunden vom eigenen Produkt abgeschottet habe. „Hosting.com, Namecheap, KnownHost, HostPapa, InMotion und alle anderen haben die Notbremse gezogen, weil die Alternative gewesen wäre, in Echtzeit zuzusehen, wie ihr gesamter Kundenstamm übernommen wird“, sagte Harris. Angesichts des zunehmenden Einsatzes von KI in der Schwachstellenforschung erwarte er, dass dieser Zustand – „die halbe Internetwelt scheinbar in Flammen“ – künftig immer vertrauter werde.

CISA setzt Frist: Bundesbehörden müssen kritische cPanel-Lücke bis Sonntag schließen

Ähnliche Artikel

Neueste Artikel