Vulnerabilità critica in cPanel sfruttata per mesi prima della patch

Una grave vulnerabilità di bypass dell'autenticazione (CVE-2026-41940) in cPanel, un popolare pannello di controllo web per la gestione di account di hosting, è stata sfruttata dagli attaccanti in natura. Ancora più preoccupante, gli attaccanti non hanno dovuto attendere la pubblicazione dei dettagli tecnici da parte dei ricercatori di WatchTowr: sono stati infatti osservati mentre sfruttavano CVE-2026-41940 a partire dal 23 febbraio, con ogni probabilità abusando della falla anche prima.

Dettagli tecnici della vulnerabilità

cPanel, fornito tipicamente da società di hosting condiviso, è uno dei pannelli di controllo più diffusi. WHM (Web Host Manager) è utilizzato dai fornitori di hosting per gestire più account cPanel su un server. La CVE-2026-41940 deriva dall'assenza di autenticazione per una funzione critica e permette agli attaccanti remoti non autenticati di ottenere accesso non autorizzato al pannello di controllo.

Secondo Ryan Emmons, ricercatore di Rapid7, "prima che l'autenticazione avvenga, cpsrvd (il demone del servizio cPanel) scrive un nuovo file di sessione sul disco. La vulnerabilità permette a un attaccante di manipolare il cookie whostmgrsession ometendo un segmento atteso del valore del cookie, evitando così il processo di crittografia tipicamente applicato a un valore fornito dall'attaccante."

Gli attaccanti possono iniettare caratteri \r\n maliziosi tramite un header di autorizzazione di base, e il sistema scrive successivamente il file di sessione senza sanificare i dati. Di conseguenza, l'attaccante può inserire proprietà arbitrarie, come user=root, nel proprio file di sessione. Dopo aver scatenato un ricaricamento della sessione dal file, l'attaccante stabilisce un accesso di livello amministrativo per il proprio token.

Sfruttamento in natura e divulgazione della vulnerabilità

WebPros International L.L.C., l'azienda che sviluppa cPanel, ha pubblicato un avviso di sicurezza per CVE-2026-41940 il 28 aprile e ha rilasciato aggiornamenti di sicurezza poche ore dopo. Secondo Daniel Pearson, CEO di KnownHost, un provider di hosting gestito, sono stati notificati circa nello stesso periodo. Hanno immediatamente iniziato a bloccare le porte di accesso a WHM/cPanel in tutta la rete KnownHost e poi hanno iniziato a implementare gli aggiornamenti di sicurezza.

Altri fornitori di hosting hanno adottato misure simili. La timeline di divulgazione per CVE-2026-41940 è un po' confusa. Secondo una fonte di webhosting.today, la vulnerabilità "era stata segnalata a cPanel circa due settimane prima dell'avviso pubblico del 28 aprile, e (...) la risposta iniziale di cPanel era stata che non c'era nulla che non andava."

È chiaro se il reporter fosse a conoscenza dello sfruttamento in natura. È altrettanto incerto perché WebPros non abbia comunicato l'esistenza di una vulnerabilità così critica ai fornitori di hosting prima e non abbia fornito passaggi di mitigazione mentre lavoravano sulle correzioni.

Cosa fare?

La CVE-2026-41940 colpisce tutte le versioni di cPanel e WHM successive alla v11.40 e la v136.1.7 di WP Squared, una piattaforma di hosting WordPress gestito costruita su cPanel. Come ha notato Emmons di Rapid7, "lo sfruttamento riuscito di CVE-2026-41940 concede a un attaccante il controllo sul sistema host cPanel, le sue configurazioni e i database, e i siti web che gestisce."

Shodan mostra circa 1,5 milioni di istanze cPanel esposte a Internet (anche se non è noto quante di queste siano vulnerabili). L'avviso di sicurezza consiglia di aggiornare a una versione di cPanel corretta, verificare la versione di build di cPanel e riavviare il servizio cPanel (cpsrvd).

Le misure di mitigazione includono il blocco del traffico in ingresso sulle porte 2083, 2087, 2095 e 2096 al firewall e l'arresto dei servizi cpsrvd e cpdavd. L'azienda ha anche fornito uno script per i clienti per cercare indicatori noti di compromissione.

Secondo Pearson, "almeno nella nostra rete e nei casi che ho esaminato, qualsiasi sfruttamento si è risolto in 'vediamo se funziona' e poi non ci sono state altre modifiche/tentativi al di là di quello." Ha aggiunto che dopo una revisione approfondita, contatteranno direttamente chiunque sia stato coinvolto, ma ha affermato di non aver visto segni di alcuna compromissione attiva, payload iniettati o altro se non la conferma dell'accesso.

Aggiornamenti recenti

Il 1 maggio 2026, CISA ha aggiunto la CVE-2026-41940 al suo catalogo di vulnerabilità conosciute e sfruttate. La Shadowserver Foundation ha riferito di vedere 44.000 indirizzi IP unici che scansionano, eseguono exploit o si impegnano in attacchi di forza bruta contro i loro sensori honeypot. Hanno anche osservato circa 650.000 indirizzi IP che ospitano istanze cPanel/WHM esposte.

Impatto sul settore dell'hosting

La vulnerabilità CVE-2026-41940 ha scatenato un'ondata di preoccupazione tra i fornitori di servizi di hosting in tutto il mondo. Molti provider hanno dovuto agire rapidamente per proteggere i loro clienti, implementando misure di sicurezza temporanee mentre aspettavano gli aggiornamenti ufficiali. Alcuni hanno riportato un aumento significativo del traffico malevolo diretto verso i loro server, con tentativi di sfruttamento che provenivano da diverse regioni geografiche. L'incidente ha anche sollevato domande sulla sicurezza complessiva delle piattaforme di hosting condiviso. Esperti del settore sottolineano l'importanza di adottare un approccio proattivo alla sicurezza, inclusi controlli periodici delle configurazioni e l'adozione di pratiche di sicurezza avanzate come l'autenticazione a due fattori per i pannelli di amministrazione.

Analisi delle tendenze degli attacchi

I dati raccolti dalla Shadowserver Foundation rivelano un quadro preoccupante. Gli attacchi contro i sistemi cPanel/WHM esposti non si sono limitati a semplici tentativi di sfruttamento. In molti casi, i criminali informatici hanno utilizzato questa vulnerabilità come punto di partenza per attività più ampie, come la distribuzione di malware e l'installazione di backdoor. Un'analisi più approfondita degli indicatori di compromissione ha rivelato che alcuni attori malevoli stavano cercando di sfruttare la vulnerabilità per accedere a database sensibili e informazioni dei clienti. Questo evidenzia la necessità per le aziende di non solo aggiornare i loro sistemi, ma anche di condurre indagini complete per determinare se i loro dati siano stati compromessi.

Implicazioni per la sicurezza informatica

L'incidente CVE-2026-41940 serve come un promemoria cruciale dell'importanza di mantenere i software aggiornati e di implementare misure di sicurezza robuste. Per gli amministratori di sistema, questo significa non solo applicare gli aggiornamenti di sicurezza non appena disponibili, ma anche monitorare attentamente i propri sistemi per segni di attività sospetta. Per i fornitori di servizi di hosting, l'evento sottolinea la necessità di comunicare apertamente con i clienti riguardo alle minacce alla sicurezza e alle misure adottate per mitigarle. La trasparenza può aiutare a costruire fiducia e a preparare meglio i clienti a potenziali minacce future.

Passi successivi per gli utenti

Per gli utenti di servizi di hosting che utilizzano cPanel, è essenziale seguire le raccomandazioni fornite dai loro provider di servizi. Questo include verificare che i loro account siano stati aggiornati alle versioni più recenti e corrette del software. Inoltre, gli utenti dovrebbero essere consapevoli dei segni di potenziale compromissione, come attività insolite nei loro account o modifiche non autorizzate ai loro siti web. Per coloro che gestiscono i propri server, è consigliabile condurre una revisione completa delle configurazioni di sicurezza e considerare l'implementazione di soluzioni di rilevamento e prevenzione delle intrusioni (IDS/IPS) per aggiungere un ulteriore livello di protezione.

Il futuro della sicurezza di cPanel

In risposta a questo incidente, è probabile che cPanel e la comunità di sicurezza informatica più ampia adottino misure per prevenire vulnerabilità simili in futuro. Questo potrebbe includere miglioramenti nei processi di sviluppo del software, audit di sicurezza più frequenti e una maggiore enfasi sull'educazione degli utenti riguardo alle migliori pratiche di sicurezza. L'incidente CVE-2026-41940 funge da catalizzatore per un esame più approfondito delle pratiche di sicurezza nel settore dell'hosting, con l'obiettivo di proteggere meglio i dati e i sistemi degli utenti contro le minacce emergenti.

Nota Editoriale e Disclaimer

Le guide e i contenuti pubblicati su GoYou sono frutto di attività di ricerca e analisi indipendente, a scopo informativo, educativo e di approfondimento.

GoYou non costituisce una testata giornalistica né un prodotto editoriale ai sensi della Legge n. 62/2001 e non svolge attività di informazione in tempo reale.

Il progetto GoYou non fornisce consulenza professionale, tecnica, legale o finanziaria e declina ogni responsabilità per l’uso improprio delle informazioni pubblicate.

Nel settore Crypto, ogni investimento comporta rischi: si invita il lettore a informarsi sempre in modo autonomo prima di assumere qualsiasi decisione.