SchwachstellenHackerangriffeCloud-Sicherheit

Über 40.000 Server kompromittiert: Massive cPanel-Exploitations-Kampagne aufgedeckt

Von CyberDeutsch Redaktion
Über 40.000 Server kompromittiert: Massive cPanel-Exploitations-Kampagne aufgedeckt
Zusammenfassung

Über 40.000 Server sind derzeit Ziel einer massiven Exploitationskampagne, die eine kritische Sicherheitslücke in der populären Server-Management-Software cPanel & WebHost Manager (WHM) ausnutzt. Die Schwachstelle CVE-2026-41940 ermöglicht es Angreifern, sich ohne gültige Anmeldedaten Administratorzugriff auf betroffene Systeme zu verschaffen und damit vollständige Kontrolle über alle verwalteten Konfigurationen, Datenbanken und Websites zu erlangen. Besonders besorgniserregend ist, dass die Lücke bereits seit Ende Februar als sogenannte Zero-Day-Schwachstelle ausgenutzt wurde, bevor sie am 28. April offiziell bekannt gemacht und gepatcht wurde. Die Angriffe haben sich nach der öffentlichen Offenlegung und der Veröffentlichung technischer Details durch das Sicherheitsunternehmen WatchTowr deutlich verschärft. Für deutsche Unternehmen und Hosting-Provider ist dies hochrelevant, da cPanel eine weit verbreitete Lösung darstellt – weltweit sind etwa 1,5 Millionen Instanzen über das Internet erreichbar. Deutsche Organisationen, die auf cPanel-basierte Infrastrukturen vertrauen, sollten dringend überprüfen, ob ihre Systeme betroffen sind, und umgehend die verfügbaren Sicherheitspatches einspielen, um sich vor Kompromittierung zu schützen.

Die kritische Sicherheitslücke CVE-2026-41940 ermöglicht es Angreifern ohne Authentifizierung, administrativen Zugriff auf cPanel-Systeme zu erlangen. Dies kann zum vollständigen Übernehmen des Host-Systems führen und gefährdet alle verwalteten Konfigurationen, Datenbanken und Websites. Die Exploitations-Methode nutzt spezielle Zeichen in Authorization-Headern, um Parameter in eine Session-Datei zu schreiben und diese anschließend neu zu laden — wodurch injizierte Administrator-Credentials gültig werden.

Die Dimension der Bedrohung ist erheblich: Rapid7 dokumentierte etwa 1,5 Millionen cPanel-Instanzen, die aus dem Internet erreichbar sind. Die Shadowserver Foundation verzeichnete Anfang Mai 44.000 eindeutige IP-Adressen mit Scan- und Exploitations-Aktivitäten gegen ihre Sensoren. Geografisch konzentrieren sich die Angriffe hauptsächlich auf die USA, gefolgt von Frankreich und den Niederlanden — europäische Infrastrukturen sind also ebenfalls im Fokus.

Zeitlich besonders problematisch: Die Lücke wurde vermutlich seit Ende Februar 2026 als Zero-Day ausgenutzt, bevor technische Details durch WatchTowr veröffentlicht wurden. Nach dieser Offenlegung beschleunigte sich die Exploitations-Aktivität massiv. Das US-Cybersecurity-Agentur CISA führte CVE-2026-41940 in ihr Katalog der aktiv ausgebeuteten Schwachstellen auf und forderte föderale Behörden auf, innerhalb von vier Tagen zu patchen.

Die betroffenen cPanel-Versionen sind alle Ausgaben nach 11.40 — praktisch alle modernen Installationen. Gepatchte Versionen stehen zur Verfügung: 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.124.0.35, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 und 11.136.0.5, sowie WP Squared 136.1.7.

Für deutsche Betreiber gilt: Sofortiges Update ist essentiell. Zusätzlich sollten Systeme auf Kompromittierungsspuren untersucht werden — insbesondere auf verdächtige Admin-Accounts, Session-Dateien und Zugriffslogs. Unternehmen mit Kundendaten müssen potenzielle Brachen dokumentieren und ggf. unter DSGVO-Meldepflichten dem BfDI berichten. Die Verzögerung eines Patches erhöht das Risiko exponentiell, da Exploits nun öffentlich verfügbar sind.

Ähnliche Artikel