cPanel重大漏洞出現濫用的概念驗證框架,全球網際網路尚有兩萬多臺伺服器遭駭
WebPros在4月28日修補cPanel/WHM的9.8分重大漏洞CVE-2026-41940,該漏洞允許未經身分驗證的攻擊者透過HTTP標頭CRLF注入獲取root權限。CISA隨即將其列入KEV清單,並於5月1日出現概念驗證框架cPanelSniper。Shadowserver基金會監測顯示,受影響IP位址從4月30日的4.4萬個降至5月1日的2萬餘個,美國、法國、德國為重災區。
Summary
WebPros旗下的cPanel與WHM(WebHost Manager)在2026年4月28日揭露並修補了一個CVSS評分高達9.8分的重大安全漏洞CVE-2026-41940。cPanel與WHM是廣泛用於Linux系統網站主機代管管理的軟體平台,此漏洞的存在對全球大量伺服器構成嚴重威脅。
漏洞披露後僅兩天,美國網路安全和基礎設施安全局(CISA)即宣布將CVE-2026-41940加入已知遭利用漏洞清單(KEV),原因是觀察到針對此漏洞的惡意活動明顯增加。該漏洞屬於身分驗證繞過類型,允許未經身分驗證的遠端攻擊者無需任何有效憑證,透過在授權HTTP標頭中注入CRLF(\r\n)換行序列,直接獲取root層級的WHM存取權限,危害程度極高。
5月1日,資安研究員Yunus Emre Öztaş在GitHub上發布了名為cPanelSniper的概念驗證(PoC)框架,進一步降低了攻擊門檻,並對漏洞的技術細節提供了更清晰的說明。同日,Shadowserver基金會在社群平台X上發出警示,指出針對CVE-2026-41940的攻擊持續活躍,並發現約4.4萬個IP位址疑似遭駭,且有攻擊者針對其蜜罐進行掃描、漏洞濫用及暴力破解攻擊。
根據Shadowserver基金會的監測數據,4月30日全球遭駭IP位址總數達44,089個,受災最嚴重的三個國家依序為美國(15,200個)、法國(4,300個)、德國(4,200個),臺灣亦有71個IP位址受影響。至5月1日,遭駭IP總數降至20,771個,前三名國家調整為美國(7,400個)、法國(2,200個)、印度(1,200個),臺灣仍有13個IP位址遭駭。
Key Insights
- CVE-2026-41940是一個無需任何有效憑證即可被利用的身分驗證繞過漏洞,攻擊者僅需透過HTTP標頭注入CRLF序列即可獲得root層級WHM權限,技術門檻相對低。
- CISA在漏洞修補後僅兩天便將CVE-2026-41940列入KEV清單,顯示該漏洞在野外被積極利用的速度異常迅速,遠快於一般漏洞的利用週期。
- Shadowserver基金會的數據顯示,從4月30日至5月1日,全球遭駭IP位址數量從44,089個大幅下降至20,771個,降幅超過50%,但攻擊活動仍在持續。
- 資安研究員Yunus Emre Öztaş在CISA發出警告的同日即於GitHub公開概念驗證框架cPanelSniper,此舉在提升漏洞透明度的同時,也可能進一步加劇攻擊活動的擴散。
- 美國在兩個觀測日期中均為受駭IP數量最多的國家(分別為15,200個及7,400個),法國穩居第二,而印度在5月1日取代德國成為第三大受災國,顯示攻擊目標的地理分布出現動態變化。
Topics
Full transcript available for MurmurCast members
Sign Up to Access