Am 2. Mai 2026 entdeckten Forscher von Ctrl-Alt-Intel eine aktive Kampagne, die kritische Schwachstelle in cPanel / WHM untersucht, registriert als CVE-2026-41940, die Authentifizierung und die hohe Kontrolle der Host-Management-Panels zu vereinen. Laut dem Bericht begann die Offensive-Bemühung von der IP-Adresse 95.11.250,175 und hatte als Ziel wichtige Regierungs- und Militärdomänen Südostasiens - einschließlich Domänen, die mit den Philippinen (* .mil.ph, * .ph) und Laos (* .gov.la) verbunden sind - zusätzlich zu einer kleinen Gruppe von Managed Service Providern (MSP) und Hosting Providern in den Philippinen, Laos, Kanada, Südafrika und den Vereinigten Staaten.
Die Kampagne war nicht auf die Nutzung der öffentlichen PoC für CVE-2026-41940 beschränkt: Ctrl-Alt-Intel dokumentierte einen vorherigen Angriff auf ein Verteidigungssektor-Trainingsportal in Indonesien, in dem der Gegner bereits gültige Anmeldeinformationen hatte und eine benutzerdefinierte Verkapselung von SQL-Injektion authentifiziert und Remote-Code Ausführung. Dieser Angriff beinhaltete einen CAPTCHA-Bypass - den erwarteten Wert aus dem Session-Cookie ablesen - und die SQL-Injektion in dem Parameter, mit dem der Name eines Dokuments gespeichert wird, was den Aufstieg zur Remote-Ausführung in der Zielanwendung erleichtert.
Die Verlobungskette zeigt auch ein ausgeklügeltes Bedienmuster: Die Angreifer haben das Kommando- und Kontrollgerüst eingesetzt AdapdixC2 und Tools wie OpenVPN und Ligolo, um dauerhaften Zugriff zu erhalten und in interne Netzwerke zu schwenken, sowie Beharrlichkeit auf Systemebene zu schaffen. In mindestens einem Fall haben sie ein beträchtliches Dokumentationsvolumen aus dem chinesischen Eisenbahnsektor ausgefiltert, das die Art der Informationssammlung der Kampagne unterstreicht.
Die Geschwindigkeit, mit der diese Ausfälle ausgenutzt wurden, ist von besonderer Bedeutung. Censys berichtete, dass mehrere Dritte begannen, Verwundbarkeit in weniger als 24 Stunden nach seiner öffentlichen Offenlegung, mit Bereitstellungen im Zusammenhang mit Varianten der Mirai Botnet und einer Sorte von Ransomware namens Sorry. Shadowserver berichtete dazu, dass bis zu 44.000 IP-Adressen, die von CVE-2026-41940 begangen wurden, am 30. April 2026 Scans und brutale Gewaltangriffe gegen Honigtöpfe durchführten, die am 3. Mai auf 3,540 fielen und eine anfängliche massive Welle mit anschließender teilweiser Eindämmung oder taktischer Veränderung nahelegten.
Die Auswirkungen sind mehrfach und ernst. Vor allem, MSP und Hosting Provider werden Verstärkungsvektoren: Eine erfolgreiche Steuerung eines cPanel / WHM-Panels kann Zugriff auf Zehner oder Hunderte von Kunden geben und eine Schwachstelle in ein Lieferkettenrisiko verwandeln. Zweitens weist die Kombination von Techniken (Stolen oder wiederverwendete Anmeldeinformationen, CAPTCHA-Bypass auf Basis von Cookies, öffentlichen Exploits und benutzerdefinierten Ketten) auf Akteure mit der Fähigkeit, öffentliche Toolkits und maßgeschneiderte Entwicklungen zu mischen, wodurch es schwierig ist, die Verbreitung der Explosion zuzuschreiben und zu beschleunigen. Schließlich zeigt die frühe Ausbeutung durch verschiedene Akteure, dass die Verwundbarkeit zu einer Ware wird: Niedrige und hochsophistische Angreifer verwenden sie für verschiedene Zwecke, von Botnets bis hin zu Exfiltration und Ransomware.
Für Sicherheitsteams und Systemmanager sind dringende Maßnahmen klar: Erstens: sofort cPanel / WHM-Patches und offizielle Updates anwenden und bestätigen, dass die bereitgestellten Versionen die gemeldete Bypass-Route nicht enthalten. Wenn es nicht möglich ist, sofort zu parken, wird empfohlen, den Zugang zu WHM mit Firewall-Regeln einzuschränken (nur von bestimmten administrativen PIs Zugriff zu ermöglichen), unnötigen Fernzugriff zu deaktivieren und Management-Ports außerhalb des öffentlichen Zugangs zu bewegen. Darüber hinaus sind Änderungen und Verzicht auf die Rotation von administrativen Berechtigungen, die Aktivierung von Multifaktor-Authentifizierung (MFA) in Panels und angeschlossenen Systemen sowie die Prüfung von SSH-Keys und -Zertifikaten wesentliche Maßnahmen.
Bei der Erkennung und Antwort sollte der Suche nach zugehörigen Indikatoren Priorität eingeräumt werden: Webprotokolle für Versuche, den dokumentarischen Endpunkt, verdächtige SQL-Ketten, Sitzungen, die CAPTCHA Bypass Lese-Cookies, das Vorhandensein von Webshells, neue systemd-Einheiten erstellt von externen Akteuren, OpenVPN-Tunnel oder Ligolo-Verbindungen, und Verkehr zu / von 95.11.250,175 oder andere verdächtige Domains. Organisationen sollten Verhaltenserkennung (EDR / NDR) implementieren, Suchen von IoCs in Backups und isolierten Systemen durchführen und die Rotation von Anmeldeinformationen und Zertifikaten berücksichtigen, wenn es Anzeichen von Engagement gibt. Wird eine anormale Aktivität festgestellt, ist die Isolierung des betroffenen Systems und die Aktivierung eines einfallsreichen Antwortplans mit Beweisrückhaltung kritisch.
MSP und Hosting-Anbieter müssen ihrerseits zusätzliche Kontrollen implementieren: strenge Segmentierung zwischen Kundenkonten, Überwachung von Änderungen der Kontokonfiguration, Einfrieren von nicht autorisierten Skripten in Dokumentenverwaltungsbereichen und periodische forensische Scans. Es wird auch empfohlen, Indikatoren mit Gemeinschaften und Organisationen wie Die Welt der Welt zur Nutzung von Scan- und Korrelationsdaten und zur Analyse von Trends auf Plattformen wie Censys die Tätigkeit der Waffenbewaffnung im Internet zu betrachten. Die offiziellen Mitteilungen und Bulletins des Lieferanten (z.B. cPanel-Releases) sollten fortlaufend zur Anwendung der Hersteller-recommended Miigation, die auf seinem Nachrichten- und Sicherheitskanal verfügbar ist, konsultiert werden.
Kurz gesagt, die Kombination einer kritischen Verwundbarkeit der Hosting-Management, der Fokus auf Regierungsziele und MSP, und die Geschwindigkeit, mit der die Explosion zu einem Drittanbieter-Tool geworden ist, schaffen ein hohes Risikoszenario. Die Antwort sollte sowohl technisch als auch betriebsbereit sein: sofortiges Patchen und Aushärten, aktive Suche nach Verpflichtungsindikatoren, Isolierung von betroffenen Maschinen, Meldungen an relevante Kunden und Behörden sowie Stärkung der Kontrollen auf Lieferantenebene, um zu verhindern, dass ein einziger Ausfallpunkt zu Kaskadenverpflichtungen führt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...