Nach Angaben von KnownHost reichten die Ausnutzungsversuche weiter zurück, als zunächst angenommen. Geschäftsführer Daniel Pearson bestätigte auf Reddit, die Lücke sei „mindestens in den letzten 30 Tagen" ausgenutzt worden, erste Anzeichen gebe es bereits seit dem 23. Februar. KnownHost behandelte CVE-2026-41940 dementsprechend als Zero-Day.
Censys zählte innerhalb der ersten 24 Stunden nach der Offenlegung rund 15.000 möglicherweise kompromittierte Instanzen. Ein Teil der Angriffe brachte Varianten des Mirai-Botnetzes aus, während die meisten verwundbaren Systeme von einer Ransomware getroffen wurden, die Dateien verschlüsselt und mit der Endung „.sorry" versieht.
Das Opfer Yousef Alsahijan berichtete, sein Server sei sowohl mit Botnetz-Schadsoftware als auch mit der „sorry"-Ransomware infiziert worden. Er beschrieb den Vorfall als „hochgradig organisierte, mehrstufige Operation" und nicht als zufälligen Angriff. „Die gesamte Angriffskette von der ersten Infektion bis zur vollständigen Verschlüsselung lief innerhalb von Minuten ab", schrieb er auf LinkedIn. „Es wurden keine Zugangsdaten benötigt. Zwei-Faktor-Authentifizierung half nicht."
Die Aktivität hat zuletzt zugenommen. Simo Kohonen, Gründer und Geschäftsführer des Sicherheitsunternehmens Defused, berichtet gegenüber Dark Reading von fast 1.000 Ausnutzungsversuchen seit dem Bekanntwerden, mit großer geografischer Streuung. Da die eigenen Honeypots nur einen kleinen Ausschnitt der über 800.000 bei Diensten wie Shodan gelisteten cPanel-Instanzen abbildeten, sei von extrem starker Ausnutzung auszugehen.
Mehrere Faktoren begünstigten die schnelle Ausnutzung. Sıla Özeren Hacıoğlu, Sicherheitsforscherin bei Picus Security, weist darauf hin, dass die Lücke schon vor der Offenlegung mindestens einigen Angreifern bekannt war – KnownHost habe laufende Angriffe auf die Verwaltungsebene von cPanel/WHM bestätigt. Zudem seien die Unterschiede zwischen verwundbaren Versionen und den Patches „recht klein und gezielt" gewesen: lediglich drei Dateien mit Änderungen, die beim Vergleich der Patch-Stände (Patch-Diffing) offensichtlich würden. Ein derart „chirurgischer Patch" sei praktisch eine Anleitung für Angreifer.
Laut Kohonen kopierte ein Großteil der beobachteten Aktivität exakt den PoC-Exploit von WatchTowr; die erste Welle sei vermutlich dadurch getrieben worden. Es seien jedoch weitere PoC-Exploits aufgetaucht, darunter einer namens „cPanel Sniper".
Hacıoğlu kritisiert zudem, die erste Mitteilung von cPanel sei „auffällig knapp" gewesen und habe den Fehler nur als „Problem beim Laden und Speichern von Sitzungen" beschrieben. Solche Beschreibungen bremsten Angreifer nicht, wohl aber Verteidiger bei der Risikobewertung. Die Lücke betrifft alle unterstützten Versionen, läuft auf einer typischerweise über Port 2087 erreichbaren Verwaltungsoberfläche und liegt auf Infrastruktur, die rund 70 Millionen Domains betreibt.
In einem Blogbeitrag warnte Hacıoğlu, die Schwachstelle sei wurmfähig; eine „massenhafte, skriptgesteuerte Ausnutzung gegen die rund 1,5 Millionen exponierten Instanzen" sei machbar. Picus Security rät, umgehend auf die korrigierten Versionen zu aktualisieren und Zugangsdaten zu erneuern – darunter Root-Konten, WHM-Reseller-Passwörter, API-Token und in WHM gespeicherte SSH-Schlüssel. Zudem sollten cPanel-Sitzungen gelöscht und Systeme auf Persistenzmechanismen wie eigene WHM-Hooks durchsucht werden.
Wer nicht sofort patchen kann, soll laut Picus Security eingehenden Verkehr auf die Ports TCP/2083, TCP/2087, TCP/2095 und TCP/2096 blockieren – eine vorübergehende Maßnahme, die mehrere große Hosting-Anbieter bereits ergriffen hätten.