Ein neuer Drohungsaktor, den Forscher getauft haben als Mr. Rot13 nutzt kritische Schwachstelle in cPanel / WHM, identifiziert als CVE-2026-41940, um einen Authentifizierungs-Bypass zu erreichen und eine hohe Kontrolle über Hosting-Panels zu erhalten. Neuere technische Details zeigen eine Kette von Angriffen, die mit automatisierten Downloads (wget / curl) eines Go-geschriebenen Infectors, der Implementierung eines öffentlichen SSH-Schlüssels für Persistenz, dem Fall einer PHP Hintertür und der endgültigen Lieferung einer multi-platform Hintertür namens Das ist der richtige Weg. in der Lage, unter Linux, macOS und Windows zu arbeiten.
Die Ausbeutung erfolgt in einer Skala und schnell: nach der Analyse der QiAnXin XLab-Firma mehr als 2.000 IP Adressen haben an automatisierten Angriffen gegen diesen Ausfall teilgenommen und die beobachteten Verhaltensweisen umfassen Kryptomoneda Bergbau, Ransomware, Botnet-Vermehrung und Anmeldeinformationen Exfiltration. Die Konvergenz einer mit einer Authentifizierungsexplosion weit verbreiteten Panelsteuerung macht den potenziellen Schaden hoch, weil ein Angreifer mit Zugang zu WHM Konten erstellen, DNS modifizieren und Anmeldeinformationen und Geheimnisse aus dem Server extrahieren kann.
Forscher beschreiben auch eine Kette, die ein PHP-Shell-Web enthält, um Dateien hochladen / herunterladen und Remote-Befehle ausführen, JavaScript-Injektionen, die falsche Anmeldeseiten zu stehlen Anmeldeinformationen (codiert mit einer einfachen Technik wie ROT13), und die Übertragung sensibler Informationen - Bash-Geschichte, SSH-Daten, Datenbank-Passwörter und cPanel virtuelle Alias - zu Befehl und Steuerung Infrastruktur und zu einer privaten Gruppe in Telegram. Die Wiederverwendung von Domänen mit geringer Erkennungsgeschichte deutet darauf hin, dass der Schauspieler im Schatten seit Jahren betrieben hat, was die Verteidigungsarbeit erschwert.
Die Auswirkungen auf Host-Anbieter und Server-Administratoren sind beträchtlich: Neben dem unmittelbaren Risiko von Engagement und Verlust von Daten besteht die Möglichkeit, massiven Ressourcenmissbrauch (Mining, Spam, Angriffe auf Dritte) und anhaltendes Engagement, das unbemerkt gehen kann, wenn ausreichende Kontrollen nicht angenommen werden. Die multi-platforme Natur der Filemanager Backdoor erhöht auch das Risiko für heterogene Umgebungen, die in der modernen Infrastruktur koexistieren.
Als erster und wichtigster Schritt, cPanel / WHM auf die geparche Version aktualisieren CVE-2026-41940 zu korrigieren, sobald der Lieferant das Patch veröffentlicht. Die Hosting-Management-Software bis heute zu halten ist die effektivste Verteidigung gegen solche Schwachstellen; cPanel veröffentlicht Hinweise und Patches auf seiner offiziellen Website, die mit Priorität verfolgt werden sollten: https: / / cpanel.net. Es wird auch empfohlen, das offizielle Register der CVE zu konsultieren, um die Informationen und die Mitigaren zu bestätigen: https: / / cve.mitre.org / cgi-bin / cvename.cgi? Name = CVE-2026-41940.
Wenn Sie das Engagement vermuten, die betroffenen Systeme sofort isolieren, von der sauberen Sicherung wiederfinden und auf eine forensische Antwort gehen: Überprüfen Sie die Liste der autorisierten SSH-Schlüssel (autorisiert _ Schlüssel) für unbekannte Einträge, prüfen Sie das Dateisystem für persistente Web-Shells und Skripte, analysieren Sie Crontabs und Dienste, die für periodische Ausführungen und Auszüge von Artefakten zur Analyse auf Plattformen wie VirusTotal konfiguriert sind: https: / / www.virustotal.com. Ändern Sie kompromittierte Passwörter und private Schlüssel und aktivieren Sie Multifaktor-Authentifizierung (2FA) in administrativen Konten, soweit möglich.
Aus betrieblicher Sicht implementieren Sie netzwerkbasierte Sperrregeln gegen bekannte Verpflichtungsindikatoren (bezogene Domänen und IP-Adressen) und fügen Sie spezifische Erkennungssignaturen in EDR / IDS-Lösungen basierend auf den von Forschern beobachteten Mustern hinzu. Denken Sie jedoch daran, dass Akteure mit geringer historischer Erkennung dazu neigen, die Infrastruktur zu drehen und ihren Verkehr zu vermeiden, so dass die Verteidigungen Block, verhaltensbasierte Erkennung und regelmäßige manuelle Integrität Überprüfung kombinieren müssen.
Hosting-Anbieter sollten die Überprüfung und Verschärfung von Kontoerstellungsprozessen und Kundensystemmanagement, einschließlich Netzwerksegmentierung, erlauben Einschränkungen und wenig privilegierte Richtlinien priorisieren. Für ihren Teil sollten Manager Backups überprüfen und schützen, die Integrität der Kopien überprüfen und einen Antwortplan beibehalten, der die Benachrichtigung an lokale CSIRT / CERT Kunden und Ausrüstung beinhaltet, wenn es eine Exfiltration von persönlichen oder Schlüsseldaten gibt.
Schließlich unterstreicht dieser Vorfall die Notwendigkeit, schnelle Parkplätze mit kontinuierlicher Überwachung zu kombinieren: Eine Schwachstelle in einem zentralen Bedienfeld hat Multiplikatoreffekt in gemeinsamen und Hosting-Umgebungen. Sicherheitsteams sollten die IOC- und Analysepublikationen von seriösen Signaturen wie QiAnXin XLab nutzen, um Erkennungen zu bereichern und laufende Kampagnen zu blockieren und offene Kanäle mit Lieferanten und Antwortteams zur Koordinierung der Minderung zu halten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...