Die Lücke ermöglicht es Angreifern, ohne Authentifizierung administrativen Zugriff auf Server zu erlangen. Sicherheitsforscher von WatchTowr Labs beschrieben die Schwachstelle als “Katastrophe” — nicht nur wegen ihrer Kritikalität, sondern auch wegen der Geschwindigkeit, mit der Angreifer sie ausnutzten.
Besonders beunruhigend: Die Ausbeutung begann bereits vor der öffentlichen Offenlegung. Der Managed-Hosting-Anbieter KnownHost registrierte Exploitversuche bis zurück zum 23. Februar — das bedeutet, dass Angreifer bereits seit mindestens 30 Tagen aktiv waren, bevor die Öffentlichkeit etwas erfuhr. Dieser Umstand unterstreicht, dass die Lücke möglicherweise gezielt von gut organisierten Threat-Aktoren ausgenutzt wurde.
Nach der öffentlichen Disclosure folgte ein regelrechtes Exploitations-Feuerwerk. Internet-Scans von Censys zeigten, dass innerhalb von 24 Stunden etwa 15.000 Instanzen angegriffen wurden — Tendenz stark steigend. Die Angreifer setzten dabei verschiedene Malware-Varianten ein: Mirai-Botnet-Varianten für DDoS-Kampagnen und Ransomware, die Dateien mit der Endung “.sorry” verschlüsselt.
Ein Opfer, Yousef Alsahijan, beschrieb den Angriff auf sein System als hochorganisierte, mehrstufige Operation: “Die gesamte Angriffskette vom initialen Zugriff zur vollständigen Verschlüsselung dauerte nur Minuten. Keine Anmeldedaten waren nötig. Zwei-Faktor-Authentifizierung half nicht.”
Sicherheitsexperten identifizieren mehrere Gründe für die rasante Ausbreitung. Erstens: Die Patch-Unterschiede zwischen anfälligen und gepatchten Versionen waren minimal — nur drei Dateien mit gezielten Änderungen. Dies machte es Angreifern einfach, die Schwachstelle zu verstehen. Zweitens: WatchTowr Labs veröffentlichte innerhalb von Stunden eine detaillierte technische Analyse und einen funktionierenden Proof-of-Concept. Dies beschleunigte die Waffenentwicklung für Angreifer massiv.
Drittens spielte die Größe der Angriffsfläche eine Rolle. cPanel verwaltet etwa 70 Millionen Domains, läuft auf standardisierten Ports (insbesondere 2087) und ist typischerweise internetexponiert. Dies machte die Vulnerability zu einem idealen Ziel für Massenscannings.
Sicherheitsforscher warnen vor einem grundsätzlichen Trend: Security-Teams haben heute oft nur noch 24 bis 48 Stunden Zeit, um kritische Schwachstellen in weit verbreiteter Software zu patchen, bevor Massenexploitation beginnt. Patch-Diffing-Tools sind industrialisiert, Scanning-Infrastruktur ist billig geworden, und detaillierte technische Analysen entstehen innerhalb von Tagen.
Für deutsche Unternehmen und Provider gelten strenge Maßnahmen: Sofortiges Update auf gepatchte Versionen ist essentiell. Parallel sollten alle Anmeldedaten rotiert werden — Root-Accounts, WHM-Reseller-Passwörter, API-Tokens und SSH-Schlüssel. Zudem müssen cPanel-Sessions gelöscht und Anzeichen von Persistenzmechanismen gesucht werden. Wer nicht sofort patchen kann, sollte Datenverkehr zu den Ports 2083, 2087, 2095 und 2096 blockieren — eine Maßnahme, die bereits große Hosting-Provider ergriffen haben. Das BSI empfiehlt, solche kritischen Lücken mit höchster Priorität zu behandeln, zumal die DSGVO-Meldepflicht bei Datenverlust greift.