Um novo ator de ameaças que os pesquisadores têm batizado como Mr_Rot13 está explodindo uma vulnerabilidade crítica em cPanel/WHM, identificada como CVE-2026-41940, para conseguir um bypass de autenticação e obter controle elevado sobre painéis de hospedagem. Os detalhes técnicos publicados recentemente mostram uma cadeia de ataque que começa com downloads automatizados (wget/curl) de um infectador escrito em Go, a implantação de uma chave pública SSH para persistência, a queda de uma porta traseira PHP e a entrega final de um backdoor multiplataforma denominado Filemanager capaz de operar em Linux, macOS e Windows.
A exploração está ocorrendo em escala e de forma rápida: segundo a análise da assinatura QiAnXin XLab, mais de 2000 endereços IP Participaram de ataques automatizados contra esta falha e os comportamentos observados incluem mineração de criptomoedas, ransomware, propagação de botnets e exfiltração de credenciais. A convergência de um controle painel amplamente implantado com um exploit de autenticação faz com que o dano potencial seja alto, porque um atacante com acesso ao WHM pode criar contas, modificar DNS e extrair credenciais e segredos do servidor.
Os pesquisadores também descrevem uma cadeia que incorpora um web shell PHP para subir/descarregar arquivos e executar comandos remotos, injecções de JavaScript que apresentam páginas de início de sessão falsas para roubar credenciais (codificadas com uma técnica simples como ROT13), e a transmissão de informações sensíveis —história de Bash, dados SSH, senhas de bases de dados e alias virtuais de cPanel — para infra-estruturas de comando e controle e até um grupo privado no Telegram. A reutilização de domínios com históricos de baixa detecção sugere que o ator tem operado na sombra durante anos, o que complica o trabalho de defesa.
As implicações para provedores de hospedagem e administradores de servidores são significativas: além do risco imediato de comprometimento e perda de dados, há a possibilidade de abuso massivo de recursos (minaria, spam, ataques a terceiros) e de compromisso persistente que pode passar despercebido se não forem adotados controles adequados. A natureza multiplataforma do backdoor Filemanager também aumenta o risco para ambientes heterogêneos que convivem em infraestruturas modernas.
Como primeira e mais importante medida, Actualizar o cPanel/WHM para a versão alterada que corrija CVE-2026-41940 logo que o fornecedor publique o adesivo. Manter o software de gerenciamento de hospedagem por dia é a defesa mais efetiva contra vulnerabilidades deste tipo; cPanel publica avisos e adesivos em seu site oficial que convém seguir com prioridade: https://cpanel.net. Também é recomendável consultar o registro oficial do CVE para confirmar as informações e as mitigar: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-41940.
Se você suspeitar de compromisso, escreva imediatamente os sistemas afetados, reponha de cópias de segurança limpas e proceda a uma resposta forense: verifique a lista de chaves autorizadas SSH (authorized_keys) para entradas desconhecidas, examine o sistema de arquivos em busca de web shells e scripts persistentes, analise crontabs e serviços configurados para execuções periódicas e extraiga artefatos para sua análise em plataformas como VírusTotal: https://www.vírustotal.com. Mude senhas e chaves privadas comprometidas, e active autenticação multifator (2FA) nas contas administrativas onde possível.
Da perspectiva operacional, implemente regras de bloqueio a nível de rede contra indicadores de compromisso conhecidos (domínios e endereços IP relacionados) e adicione assinaturas de detecção específicas em soluções EDR/IDS baseadas nos padrões observados pelos pesquisadores. No entanto, tenha em conta que atores com baixa detecção histórica tendem a rotar infraestrutura e a ofuscar seu tráfego, pelo que as defesas devem combinar bloqueio, detecção baseada em comportamento e revisão manual periódica de integridade.
Os provedores de hospedagem devem priorizar a revisão e o endurecimento dos processos de criação de contas e da gestão de sistemas clientes, incluindo segmentação de redes, restrições de permissões e políticas de mínimo privilégio. Por seu lado, os administradores devem auditar e proteger os backups, validar a integridade das cópias e manter um plano de resposta que inclua notificação a clientes e equipamentos CSIRT/CERT locais se houver ex-filtração de dados pessoais ou chaves.
Finalmente, este incidente sublinha a necessidade de combinar adesivos rápidos com monitoramento contínuo: uma vulnerabilidade em um painel de controle centralizado tem efeito multiplicador em ambientes compartilhados e hospedagem. As equipes de segurança devem aproveitar as publicações de análise e IOC de assinaturas reputadas como a de QiAnXin XLab para enriquecer deteções e bloquear campanhas em curso, e manter canais abertos com fornecedores e equipes de resposta para coordenar mitigações.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...