Em 2 de maio de 2026, pesquisadores de Ctrl-Alt-Intel detectaram uma campanha ativa que explora uma vulnerabilidade crítica em cPanel/WHM, registrada como CVE-2026-41940, para obter autenticação e controle elevado de painéis de gestão de hospedagem. De acordo com o relatório, o esforço ofensivo partiu do endereço IP 95.111.250.175 e teve como principais domínios governamentais e militares do Sudeste Asiático — incluindo domínios associados às Filipinas (*.mil.ph, *.ph) e Laos (*.gov.la) — além de um pequeno grupo de fornecedores de serviços geridos (MSP) e prestadores de hospedagem nas Filipinas, Laos, Canadá, África do Sul e Estados Unidos.
A campanha não se limitou ao uso de PoC públicos para CVE-2026-41940: Ctrl-Alt-Intel documentou um ataque prévio dirigido a um portal de formação do setor defesa na Indonésia em que o adversário já contava com credenciais válidas e empregava um encadeamento personalizado de SQL injection autenticada e execução remota de código. Esse ataque incluiu um bypass do CAPTCHA (leindo o valor esperado do cookie de sessão) e a injeção SQL no parâmetro usado para guardar o nome de um documento, o que facilita a escalada para execução remota na aplicação alvo.
A cadeia de compromisso também revela um padrão operacional sofisticado: os atacantes lançaram o quadro de comando e controle AdapdixC2 ferramentas e ferramentas como o OpenVPN e o Ligolo para manter acesso persistente e pivotar para redes internas, além de criar persistência a nível do systemd. Pelo menos um caso exfiltraram um volume importante de documentação do sector ferroviário chinês, o que sublinha o carácter orientado para a recolha de informações da campanha.
A rapidez com que se aproveitaram estas falhas é especialmente preocupante. Censys informou que vários terceiros começaram a weaponizar a vulnerabilidade em menos de 24 horas após sua divulgação pública, com implantaçãos associadas a variantes do botnet Mirai e a uma estirpe de ransomware chamada Sorry. Por sua vez, Shadowserver relatou que até 44.000 endereços IP comprometidos por CVE-2026-41940 realizaram digitalização e ataques de força bruta contra honeypots em 30 de abril de 2026, cifra que diminuiu para 3.540 em 3 de maio, sugerindo uma onda massiva inicial seguida de uma contenção parcial ou mudança táctico.
As implicações são múltiplas e graves. Em primeiro lugar, os MSP e fornecedores de hospedagem tornam-se vetores de amplificação: um controle bem sucedido de um painel cPanel/WHM pode dar acesso a dezenas ou centenas de clientes, convertendo uma vulnerabilidade em um risco de cadeia de abastecimento. Em segundo lugar, a combinação de técnicas (credenciais roubadas ou reutilizadas, bypass de CAPTCHA baseado em cookies, exploits públicos e cadeias personalizadas) aponta atores com capacidade para misturar toolkits públicos e desenvolvimentos à medida, o que dificulta a atribuição e acelera a difusão do exploit. Finalmente, a exploração precoce por atores distintos indica que a vulnerabilidade está se tornando um commodity: os atacantes de baixa e alta sofisticação estão utilizando-se para diferentes fins, desde botnets até exfiltração e ransomware.
Para equipes de segurança e administradores de sistemas as ações urgentes são claras: primeiro, Aplicar imediatamente os adesivos e atualizações oficiais do cPanel/WHM e validar que as versões desenhadas não contêm a rota de bypass relatada. Se não for possível corrigir imediatamente, recomenda-se restringir o acesso ao WHM com regras de firewall (permitir acesso apenas a partir de IPs administrativos específicos), desativar acesso remoto desnecessário e mover portos de gestão fora do acesso público. Além disso, alterar e forçar a rotação de credenciais administrativas, activar a autenticação multifator (MFA) em painéis e sistemas anexos, e auditar chaves SSH e certificados são medidas indispensáveis.
Na detecção e resposta, convém priorizar a busca de indicadores associados: revisar logs web para tentativas de exploração do endpoint de gravação de documentos, cadeias de SQL suspeitas, sessões que façam bypass de CAPTCHA lendo cookies, presença de webshells, novas unidades systemd criadas por atores externos, túneis OpenVPN ou conexões Ligolo, e tráfego para/desde 95.111.250.175 ou outros domínios suspeitos. As organizações devem instrumentar detecção de comportamento (EDR/NDR), realizar buscas de IoCs em backups e sistemas isolados, e considerar a rotação de credenciais e certificados se houver indícios de compromisso. Se se identifica atividade anómala, isolar o sistema afetado e ativar um plano de resposta a incidentes com retenção de evidências é crítico.
Os MSP e fornecedores de hospedagem, por sua vez, devem implementar controlos adicionais: segmentação estrita entre contas de cliente, monitoramento de mudanças em configuração de contas, bloqueio preventivo de scripts não autorizados em áreas de gestão documental e digitalização forenses periódicos. Também é recomendável compartilhar indicadores com comunidades e organizações como Shadowserver para aproveitar dados de digitalização e correlação, e consultar análises de tendência em plataformas como Censys para visualizar a atividade de weaponização na internet. Os avisos e boletins oficiais do fornecedor (por exemplo, os comunicados de cPanel) devem ser consultados de forma contínua para aplicar mitigações recomendadas pelo fabricante, disponíveis no seu canal de notícias e segurança.
Em suma, a combinação de uma vulnerabilidade crítica de gestão de hospedagem, a focalização em objetivos governamentais e MSP, e a rapidez com que o exploit se tornou ferramenta de terceiros criam um cenário de risco elevado. A resposta deve ser simultaneamente técnica e operacional: adesivo e endurecimento imediatos, procura ativa de indicadores de compromisso, isolamento de máquinas afectadas, notificação a clientes e autoridades relevantes, e reforço de controlos a nível de fornecedores para evitar que um único ponto de falha seja traduzido em compromissos em cascata.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...