Über 40.000 Server durch cPanel-Zero-Day kompromittiert

Zusammenfassung

In einer laufenden Angriffskampagne haben Angreifer offenbar mehr als 40.000 Server kompromittiert, indem sie eine kürzlich geschlossene Zero-Day-Schwachstelle in cPanel ausnutzten. Wie die gemeinnützige Shadowserver Foundation berichtet, zielen die Angriffe auf CVE-2026-41940 – eine kritische Lücke zur Umgehung der Authentifizierung in cPanel & WebHost Manager (WHM), einer Plattform zur Server- und Website-Verwaltung. Über die Schwachstelle erhalten nicht authentifizierte Angreifer administrativen Zugriff auf cPanel. Damit lassen sich das Host-System übernehmen sowie sämtliche von der Plattform verwalteten Konfigurationen, Datenbanken und Websites kompromittieren. Offengelegt wurde der Fehler am 28. April. Die Angriffsaktivität nahm nach der Veröffentlichung deutlich zu, vor allem nachdem das Sicherheitsunternehmen WatchTowr technische Details publiziert hatte. Betroffen sind alle cPanel-Versionen nach 11.40, weshalb Betreiber dringend zu einem Update auf eine korrigierte Fassung aufgefordert werden. Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen und Bundesbehörden zum raschen Einspielen des Patches verpflichtet.

Die Shadowserver Foundation beobachtet eine fortlaufende Kampagne, bei der Angreifer die Schwachstelle CVE-2026-41940 in cPanel & WebHost Manager (WHM) ausnutzen. Die als kritisch eingestufte Lücke erlaubt es nicht authentifizierten Angreifern, die Anmeldung zu umgehen und administrativen Zugriff auf die Verwaltungsplattform zu erlangen.

Technisch lässt sich der Fehler über Sonderzeichen in Autorisierungs-Headern ausnutzen: Damit schreiben Angreifer Parameter in eine Sitzungsdatei und lösen anschließend deren erneutes Laden aus, um sich mit den eingeschleusten administrativen Zugangsdaten zu authentifizieren. Wer den Zugriff erlangt, kann das Host-System übernehmen und alle verwalteten Konfigurationen, Datenbanken und Websites kompromittieren.

Nach Einschätzung von Shadowserver wurde CVE-2026-41940 vermutlich bereits seit Ende Februar als Zero-Day ausgenutzt. Die Aktivität stieg nach der öffentlichen Offenlegung am 28. April sprunghaft an – insbesondere, nachdem das Bedrohungsanalyse-Unternehmen WatchTowr technische Einzelheiten veröffentlicht hatte.

Rapid7 warnte kürzlich, dass rund 1,5 Millionen cPanel-Instanzen aus dem Internet erreichbar seien. Shadowserver registrierte zeitweise zehntausende potenziell kompromittierte Systeme. „Die Zahl von 44.000 eindeutigen IP-Adressen beruht auf einem Anstieg von cPanel-Geräten, die unsere Honeypot-Sensoren scannen oder gegen sie Exploits sowie Brute-Force-Angriffe ausführen", erklärte die Organisation. Bis zum 3. Mai sei diese Zahl den Daten zufolge deutlich gesunken. Die meisten betroffenen Systeme befinden sich in den USA, gefolgt von Frankreich und den Niederlanden.

Verwundbar sind alle cPanel-Versionen nach 11.40. Betreibern wird geraten, möglichst rasch auf eine Patch-Fassung zu aktualisieren und den Anweisungen von cPanel zur Erkennung und Behebung möglicher Kompromittierungen zu folgen. Laut aktualisiertem Hinweis von cPanel enthalten die Versionen 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.124.0.35, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 und 11.136.0.5 sowie WP Squared 136.1.7 die Korrekturen.

Die US-Behörde CISA nahm CVE-2026-41940 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und forderte Bundesbehörden auf, den Patch innerhalb von vier Tagen einzuspielen.

Über 40.000 Server durch cPanel-Zero-Day kompromittiert

Ähnliche Artikel

Neueste Artikel