黑客利用CVE-2026-41940漏洞控制cPanel和WHM服务器

admin
admin
admin
0
文章
0
评论
2026-05-14 13:54:41 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档披露了cPanel与WHM服务器中的高危身份验证绕过漏洞CVE-2026-41940(CVSS9.8),该漏洞正被黑客组织Mr_rot13积极利用,攻击者无需凭证即可获取管理员权限,进而部署勒索软件、加密货币挖矿程序及后门。全球已有超2000个IP地址参与扫描利用,并导致东南亚政府及军方网络敏感数据泄露。文档提供了相关的域名与MD5哈希等妥协指标(IoC)。 综合评分: 90 文章分类: 漏洞分析,漏洞预警,威胁情报,恶意软件,安全大事件

cover_image

黑客利用 CVE-2026-41940 漏洞控制 cPanel 和 WHM 服务器

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月12日 18:54 北京

在小说阅读器读本章

去阅读

致命的身份验证绕过漏洞正在影响全球的 cPanel 和 WebHost Manager (WHM) 服务器。

该漏洞被追踪为 CVE-2026-41940,最高严重性评分为 9.8,这一严重漏洞实际上已经将控制权直接交给了网络犯罪分子。

无需任何用户名或密码,未经身份验证的远程攻击者就能无情地突破安全边界,夺取绝对的管理员控制权。

威胁行为者现在正积极利用这一零日漏洞,在易受攻击的 Linux 环境中释放出大量的勒索软件、寄生性加密货币挖矿程序和深度嵌入的后门。

自 2026 年 4 月下旬公开披露以来,威胁情报平台观察到针对此漏洞的自动化攻击激增。

DailyDarkWeb 报道称,全球有超过 2000 个不同的 IP 地址(主要来自美国、德国、巴西和荷兰)正在积极扫描和利用此漏洞。

5月2日,Ctrl-Alt-Intel的安全研究人员披露了这一威胁的严重性。

黑客成功利用这一漏洞入侵东南亚政府和军方网络,窃取了 2020 年至 2024 年期间近 4.37 GB 的敏感档案。

CVE-2026-41940 劫持 cPanel 服务器

XLab 的安全分析师将一场高度复杂的持续攻击活动归咎于一个名为“Mr_Rot13”的秘密黑客组织。

该组织至少从 2020 年起就一直悄悄运作,其过往记录表明,该组织曾部署恶意 PHP 后门,这些后门能够完全绕过主流杀毒软件的检测。

该组织因频繁使用 Rot13 算法来混淆其在注入的 JavaScript 有效载荷中的命令与控制 (C2) 基础设施而得名。

最近的调查显示,Mr_Rot13 是一个组织严密的黑客组织,而不是一个投机取巧的脚本小子团伙。

该组织依靠定制的、维护良好的恶意软件,并对探测其基础设施的安全研究人员做出动态反应。

例如,他们经常轮换Telegram 机器人令牌并升级恶意软件有效载荷,以逃避主动检测和分析。

感染过程始于攻击者利用 CVE-2026-41940绕过身份验证,从而立即获得目标服务器上的管理员权限。

威胁行为者无需提供用户名或密码,即可部署名为“Payload”的基于 Go 的注入工具。

XLab 的研究人员指出,该工具的代码结构和日志记录风格似乎是由人工智能生成的。

一旦执行,注入器会立即更改服务器的 root 密码并植入恶意 SSH 公钥,以确保持久的后门访问。

该恶意软件随后会投放一个名为“Cpanel-Python”的自定义 PHP webshell。它会将恶意 JavaScript 代码注入到服务器的自定义登录页面中。

这段注入的脚本会主动窃取用户凭据、User-Agent 字符串和 URL,并通过 AJAX 请求将窃取的数据转发到远程 C2 服务器。

最后一步,攻击者部署了“Filemanager”,这是一款功能强大的跨平台远程控制木马。

该木马程序支持 Linux、Windows 和 Darwin 操作系统,允许攻击者访问基于 Web 的控制台来执行远程命令和管理文件。

窃取的服务器配置和数据库凭证随后通过双渠道泄露,将信息发送回该组织的 Web 域名和一个专门的 Telegram 机器人。

妥协指标 (IOC):

域名:

  • cp.dene.de[.]com
  • wrned[.]com
  • wpsock[.]com

MD5 哈希值:

  • fb1bc3f935fdeb3555465070ba2db33c
  • 9305b4ebbb4d39907cf36b62989a6af3
  • 2286f126ab4740ccf2595ad1fa0c615c

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《黑客利用 CVE-2026-41940 漏洞控制 cPanel 和 WHM 服务器》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0