cPanel-Schwachstelle CVE-2026-41940 aktiv ausgenutzt: Angreifer schleusen Filemanager-Backdoor ein

Zusammenfassung

Eine kürzlich offengelegte kritische Schwachstelle in cPanel wird derzeit aktiv ausgenutzt, um kompromittierte Systeme mit einer Backdoor zu infizieren. Das berichten die Sicherheitsforscher von QiAnXin XLab. Ein Bedrohungsakteur, der unter dem Namen Mr_Rot13 geführt wird, wird mit der Verbreitung einer Backdoor mit dem Codenamen Filemanager in Verbindung gebracht. Im Zentrum steht die Lücke CVE-2026-41940, die cPanel und den WebHost Manager (WHM) betrifft. Sie ermöglicht einen Authentifizierungs-Bypass, über den entfernte Angreifer erweiterte Kontrolle über die Verwaltungsoberfläche erlangen können. Nach Angaben von XLab haben mehrere Akteure die Schwachstelle kurz nach ihrer öffentlichen Bekanntgabe in diesem Monat ausgenutzt – mit Folgen wie Kryptomining, Ransomware, der Ausbreitung von Botnetzen und dem Einschleusen von Backdoors. Die Forscher beobachten weltweit mehr als 2.000 angreifende Quell-IP-Adressen, die in automatisierte Angriffe gegen diese Lücke eingebunden sind. Sie verteilen sich auf mehrere Weltregionen und stammen vorrangig aus Deutschland, den Vereinigten Staaten, Brasilien, den Niederlanden und weiteren Gebieten. Die Angriffe sind damit kein Einzelfall, sondern Teil einer breit angelegten, automatisierten Kampagne.

Die Analyse von XLab zeichnet eine mehrstufige Angriffskette nach. Den Ausgangspunkt bildet ein Shell-Skript, das mit wget oder curl einen in Go geschriebenen Infektor von einem entfernten Server („cp.dene.[de[.]com“) herunterlädt. Dieser Infektor hinterlegt auf dem kompromittierten cPanel-System einen öffentlichen SSH-Schlüssel für dauerhaften Zugriff und legt zusätzlich eine PHP-Webshell ab, die das Hoch- und Herunterladen von Dateien sowie die Ausführung entfernter Befehle erlaubt.

Über diese Webshell wird anschließend JavaScript-Code eingeschleust, der eine manipulierte Login-Seite ausspielt. Damit fangen die Angreifer Zugangsdaten ab und leiten sie an ein von ihnen kontrolliertes System weiter, dessen Adresse mit der ROT13-Chiffre kodiert ist („wrned[.]com“). Sind die Daten übermittelt, endet die Kette mit dem Einsatz einer plattformübergreifenden Backdoor, die Windows, macOS und Linux infizieren kann.

Der Infektor sammelt zudem sensible Informationen vom betroffenen Host ein – darunter die Bash-History, SSH-Daten, Geräteinformationen, Datenbankpasswörter und cPanel-Virtual-Aliases (valiases). Diese Daten werden an eine dreiköpfige Telegram-Gruppe übermittelt, die von einem Nutzer namens „0xWR“ eingerichtet wurde.

In der von XLab untersuchten Infektionssequenz wird die eigentliche Backdoor Filemanager über ein Shell-Skript ausgeliefert, das von der Domain „wpsock[.]com“ stammt. Filemanager beherrscht laut den Forschern Dateiverwaltung, die Ausführung entfernter Befehle und Shell-Funktionen.

Nach Einschätzung von XLab agiert der Akteur hinter der Operation bereits seit Jahren weitgehend unbemerkt. Diese Bewertung stützt sich darauf, dass die im JavaScript-Code eingebettete Command-and-Control-Domain bereits in einer PHP-basierten Backdoor („helper.php“) verwendet wurde, die im April 2022 auf die Plattform VirusTotal hochgeladen wurde. Die Domain selbst wurde erstmals im Oktober 2020 registriert.

„Über die sechs Jahre von 2020 bis heute ist die Erkennungsrate der mit Mr_Rot13 verbundenen Samples und Infrastruktur in Sicherheitsprodukten extrem niedrig geblieben“, erklärte XLab.

cPanel-Schwachstelle CVE-2026-41940 aktiv ausgenutzt: Angreifer schleusen Filemanager-Backdoor ein

Ähnliche Artikel

Neueste Artikel