SchwachstellenHackerangriffeCyberkriminalität

Kritische cPanel-Lücke wird gezielt gegen Regierungen und Service-Provider genutzt

Von CyberDeutsch Redaktion
Kritische cPanel-Lücke wird gezielt gegen Regierungen und Service-Provider genutzt
Zusammenfassung

Eine kritische Sicherheitslücke in der weit verbreiteten Hosting-Verwaltungssoftware cPanel wird bereits von mehreren Angreifern massiv ausgenutzt. Die Schwachstelle CVE-2026-41940 ermöglicht es unbefugten Personen, sich ohne gültige Anmeldedaten Zugriff auf cPanel- und WebHost Manager-Systeme zu verschaffen und diese vollständig zu kontrollieren. Sicherheitsexperten haben beobachtet, wie ein bislang unbekannter Akteur gezielt Regierungs- und Militärbehörden in Südostasien, insbesondere auf den Philippinen und in Laos, sowie Managed Service Provider und Hosting-Anbieter weltweit angegriffen hat. Die Angreifer nutzen zusätzlich Spionage-Tools und Persistenz-Mechanismen, um langfristig in Netzwerken präsent zu bleiben und Daten zu stehlen. Besonders besorgniserregend ist die Geschwindigkeit der Weaponisierung: Bereits innerhalb von 24 Stunden nach der Veröffentlichung der Sicherheitslücke setzen mehrere Cyberkriminelle-Gruppen diese ein, um Botnetze wie Mirai einzuschleusen oder Ransomware-Attacken durchzuführen. Für deutsche Unternehmen und Behörden, die cPanel-basierte Hosting-Infrastrukturen betreiben, stellt dies eine unmittelbare Bedrohung dar. Ein sofortiges Sicherheits-Update ist essentiell, um Kompromittierungen zu verhindern.

Die Angriffe nutzen CVE-2026-41940, um sich unerlaubten Zugriff auf cPanel-Systeme zu verschaffen. Die primären Ziele sind Regierungs- und Militärbehörden der Philippinen und Laos, doch auch MSPs und Hosting-Provider in Kanada, Südafrika und den USA wurden ins Visier genommen. Der Angriffsverkehr wird von der IP-Adresse 95.111.250.175 aus durchgeführt und nutzt öffentlich verfügbare Proof-of-Concept-Exploits.

Besonders bemerkenswert ist die Raffinesse der Angreifer: Sie setzten in einem separaten Angriff auf ein indonesisches Verteidigungsministeriums-Portal eine Custom-Exploit-Chain ein, bestehend aus authentifizierter SQL-Injection und Remote-Code-Execution. Der Angreifer hatte bereits gültige Anmeldedaten für das Portal und bypässte die CAPTCHA-Schutzmaßnahme durch Auslesen der Session-Cookie-Werte.

Nach erfolgreicher Authentifizierung drangen die Angreifer in die Dokumentenverwaltungsfunktion ein und injizierten SQL-Code in das Feld für Dokumentnamen. Dies ermöglichte ihnen, substanzielle Mengen an Dokumenten aus dem chinesischen Eisenbahnsektor abzuziehen.

Für die persistente Kontrolle nutzt der Angreifer das AdaptixC2-Command-and-Control-Framework sowie Tools wie OpenVPN und Ligolo, um Zugriff auf interne Opfernetzwerke zu etablieren und zu halten. Dies deutet auf eine hochorganisierte Kampagne mit erheblichen technischen Fähigkeiten hin.

Censys hat parallel ermittelt, dass die cPanel-Lücke bereits innerhalb von 24 Stunden nach ihrer Offenlegung von mehreren Dritten ausgenutzt wurde — unter anderem für die Verbreitung von Mirai-Botnet-Varianten und der Ransomware Sorry. Nach Daten der Shadowserver Foundation waren am 30. April mindestens 44.000 IP-Adressen über CVE-2026-41940 kompromittiert und führten Scanning- und Brute-Force-Angriffe durch. Bis zum 3. Mai sank die Zahl auf 3.540 — ein Indiz dafür, dass viele Systeme inzwischen gepatcht wurden.

Die Identität der Angreifer bleibt ungeklärt, doch die Zielauswahl und Operationsmethodik sprechen für einen staatlichen oder staatlich unterstützten Akteur. Deutsche Betreiber von cPanel-Systemen sollten sofort Updates einspielen und ihre Systeme auf Kompromittierungszeichen überprüfen.

Ähnliche Artikel