Le 2 mai 2026, des chercheurs de Ctrl-Alt-Intel ont détecté une campagne active qui explore la vulnérabilité critique dans cPanel / WHM, CVE-2026-41940, pour unifier l'authentification et un haut contrôle des panneaux de gestion d'hôte. Selon le rapport, l'effort offensif a commencé à partir de l'adresse IP 95.11.250,175 et avait comme cible les grands domaines gouvernementaux et militaires de l'Asie du Sud-Est - y compris les domaines associés aux Philippines (* .mil.ph, * .ph) et au Laos (* .gov.la) - en plus d'un petit groupe de fournisseurs de services gérés (MSP) et d'accueil aux Philippines, au Laos, au Canada, en Afrique du Sud et aux États-Unis.
La campagne ne se limitait pas à l'utilisation du PAC public pour le CVE-2026-41940 : Ctrl-Alt-Intel a documenté une précédente attaque visant un portail d'entraînement du secteur de la défense en Indonésie dans lequel l'adversaire avait déjà des qualifications valides et utilisé une encapsulation sur mesure de Exécution de code à distance et authentifiée par injection SQL. Cette attaque comprenait un contournement CAPTCHA - lecture de la valeur attendue à partir du cookie de session - et l'injection SQL dans le paramètre utilisé pour enregistrer le nom d'un document, ce qui facilite la montée vers l'exécution à distance dans l'application cible.
La chaîne d'engagement révèle également un schéma d'opération sophistiqué : les attaquants ont déployé le cadre de commandement et de contrôle AdapdixC2 et des outils tels qu'OpenVPN et Ligolo pour maintenir un accès persistant et pivoter dans les réseaux internes, ainsi que pour créer une persistance au niveau du système. Dans au moins un cas, ils ont exfiltré un volume important de documentation du secteur ferroviaire chinois, ce qui souligne la nature de la collecte de renseignements de la campagne.
La rapidité avec laquelle ces échecs ont été exploités est particulièrement préoccupante. Censys a signalé que plusieurs tiers ont commencé à armer la vulnérabilité dans moins de 24 heures après sa divulgation publique, avec des déploiements associés à des variantes du botnet Mirai et une souche de Ransomware appelé Désolé. Pour sa part, Shadowserver a rapporté que jusqu'à 44 000 adresses IP ont effectué des scans et des attaques de force brutales contre des pots de miel le 30 avril 2026, qui sont tombés à 3 540 le 3 mai, suggérant une vague massive initiale suivie d'un confinement partiel ou d'un changement tactique.
Les conséquences sont multiples et graves. Tout d'abord, MSP et les fournisseurs d'hébergement deviennent des vecteurs d'amplification: un contrôle réussi d'un panneau cPanel / WHM peut donner accès à des dizaines ou des centaines de clients, transformant une vulnérabilité en risque de chaîne d'approvisionnement. Deuxièmement, la combinaison de techniques (identifiants volés ou réutilisés, contournement CAPTCHA basé sur les cookies, les exploits publics et les chaînes personnalisées) indique aux acteurs la capacité de combiner des outils publics et des développements sur mesure, ce qui rend difficile d'attribuer et d'accélérer la diffusion de l'explosion. Enfin, l'exploitation précoce par différents acteurs indique que la vulnérabilité devient une marchandise : les attaquants à faible et à haute sophistication l'utilisent à des fins différentes, des botnets à l'exfiltration et au ransomware.
Pour les équipes de sécurité et les gestionnaires de systèmes, les mesures urgentes sont claires : appliquer immédiatement les correctifs cPanel / WHM et les mises à jour officielles et valider que les versions déployées ne contiennent pas la route de contournement signalée. S'il n'est pas possible de se garer immédiatement, il est recommandé de restreindre l'accès à WHM avec des règles de pare-feu (ne permettant l'accès qu'à partir de PI administratives spécifiques), de désactiver l'accès à distance inutile et de déplacer les ports de gestion à l'extérieur de l'accès public. De plus, il est essentiel de modifier et de forcer la rotation des pouvoirs administratifs, d'activer l'authentification multifactorielle (AMF) dans les panneaux et les systèmes attachés, et d'auditionner les clés et certificats SSH.
Dans la détection et la réponse, la priorité devrait être donnée à la recherche d'indicateurs associés : examiner les journaux Web pour tenter d'exploiter le paramètre de tenue de documents, les chaînes SQL suspectes, les sessions qui font des cookies de lecture de contournement CAPTCHA, la présence de webshells, les nouvelles unités système créées par des acteurs externes, les tunnels OpenVPN ou les connexions Ligolo, et le trafic vers / depuis 95.11.250,175 ou d'autres domaines suspects. Les organisations devraient mettre en œuvre la détection de comportement (EDR / NDR), effectuer des recherches des IoC dans les sauvegardes et les systèmes isolés, et envisager la rotation des titres et des certificats s'il y a des signes d'engagement. Si une activité anormale est identifiée, il est essentiel d'isoler le système touché et d'activer un plan d'intervention en cas d'incident avec conservation des preuves.
MSP et les fournisseurs d'hébergement, pour leur part, doivent mettre en place des contrôles supplémentaires : segmentation stricte entre les comptes clients, suivi des changements dans la configuration des comptes, gel des scripts non autorisés dans les zones de gestion documentaire et analyses médico-légales périodiques. Il est également recommandé de partager des indicateurs avec les communautés et les organisations telles que Serveur d'ombre pour tirer parti des données de numérisation et de corrélation, et consulter l'analyse des tendances sur des plateformes telles que Censys voir l'activité d'armement sur Internet. Les avis officiels et les bulletins du fournisseur (p. ex. les communiqués de cPanel) devraient être consultés de façon continue afin d'appliquer les mesures d'atténuation recommandées par le fabricant, disponibles sur sa chaîne de nouvelles et de sécurité.
En bref, la combinaison d'une vulnérabilité critique de la gestion de l'hébergement, l'accent mis sur les objectifs gouvernementaux et les PSM, et la rapidité avec laquelle l'explosion est devenue un outil tiers créent un scénario à risque élevé. La réponse devrait être à la fois technique et opérationnelle: rectangle et durcissement immédiats, recherche active d'indicateurs d'engagement, isolement des machines concernées, notification aux clients et autorités concernés, et renforcement des contrôles au niveau des fournisseurs afin d'éviter qu'un seul point de défaillance n'entraîne des engagements en cascade.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...