文章总结： 未知威胁者利用cPanel漏洞CVE-2026-41940攻击东南亚政府、军事实体及多国MSP，滥用PoC脚本实现身份验证绕过和远程控制。攻击链还涉及印尼国防部门门户的SQL注入和RCE，并利用AdaptixC2、OpenVPN和Ligolo建立持久访问，窃取敏感数据。漏洞披露24小时内已被Mirai和Sorry勒索软件等多方利用，蜜罐数据显示大量IP受威胁，风险极高。 综合评分： 92 文章分类： 漏洞预警,渗透测试,威胁情报,应急响应,漏洞分析

cPanel关键漏洞已被用于攻击政府和MSP网络

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月4日 20:29 辽宁

在小说阅读器读本章

去阅读

此前未知的威胁行为者被发现利用 cPanel 中最近披露的漏洞，以东南亚的政府和军事实体为目标，同时还攻击菲律宾、老挝、加拿大、南非和美国的一小部分托管服务提供商 (MSP) 和主机提供商。

Ctrl-Alt-Intel 于 2026 年 5 月 2 日检测到的活动涉及滥用CVE-2026-41940，这是 cPanel 和 WebHost Manager (WHM) 中的一个严重漏洞，可能导致身份验证绕过，并允许远程攻击者获得控制面板的更高控制权。

攻击行动源自 IP 地址“95.111.250[.]175”，主要针对与菲律宾（*.mil.ph 和 *.ph）和老挝（*.gov.la）相关的政府和军事域名，以及 MSP 和托管服务提供商，并使用公开可用的 概念验证(PoC)。

此外，Ctrl-Alt-Intel 还披露，攻击者在发起 cPanel 攻击之前，曾针对印尼国防部门的一个培训门户网站使用过一套独立的定制攻击链，该攻击链结合了经过身份验证的 SQL 注入和远程代码执行技术。据悉，攻击者当时已经掌握了该门户网站的有效登录凭证。

Ctrl-Alt-Intel 表示：“该脚本使用硬编码凭据，通过从服务器颁发的会话 cookie 中读取预期的 CAPTCHA 值来绕过门户网站的 CAPTCHA，而不是正常解决挑战。”

“攻击者一旦通过身份验证和验证码验证，就会进入文档管理功能。易受攻击的参数是用于保存文档名称的字段，脚本会在向文档保存端点发送 POST 请求时，将 SQL 代码注入到该字段中。”

进一步分析表明，攻击者利用AdaptixC2命令与控制 (C2) 框架远程控制受感染的终端。此外，攻击者还使用了 OpenVPN 和 Ligolo 等工具，以实现对受害者内部网络的持续访问。

Ctrl-Alt-Intel补充道：“该攻击者利用OpenVPN、Ligolo和systemd持久性构建了一个持久的访问层，然后利用该访问层进入内部网络，窃取了大量中国铁路部门的文件。”

目前尚不清楚是谁在幕后操纵，但与此同时，Censys 表示，他们发现了证据，表明 cPanel 漏洞在公开披露后的 24 小时内就被多个第三方利用，包括部署 Mirai 僵尸网络变种和名为 Sorry 的勒索软件。

根据 Shadowserver 基金会的数据，至少有 44,000 个 IP 地址可能因 CVE-2026-41940 漏洞而遭到入侵，并于 2026 年 4 月 30 日对其蜜罐进行了扫描和暴力破解攻击。截至 5 月 3 日，这一数字已降至3,540。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《cPanel关键漏洞已被用于攻击政府和MSP网络》