Уязвимость cPanel привела к всплеску атак и вымогательства

Критическая CVE-2026-41940 в cPanel/WHM вызвала всплеск атак: Mirai, ransomware и тысячи заражённых хостов

Недавнее раскрытие CVE-2026-41940 — критической authentication bypass уязвимости в cPanel/WHM, возникающей before authentication, — привело к заметному росту вредоносной активности вокруг этих платформ. Уязвимость позволяет неаутентифицированным злоумышленникам обходить механизмы аутентификации и получать повышенный доступ, что создаёт условия для последующей эксплуатации.

Резкий рост активности после раскрытия

После публикации информации об уязвимости 29 апреля 2026 года аналитики зафиксировали существенный сдвиг в распределении вредоносных хостов. По данным Censys, около 80% новых вредоносных хостов, замеченных 1 мая, работали на cPanel/WHM. Это стало резким отклонением от обычных паттернов активности и указывает на массовое злоупотребление уязвимостью.

Два основных вектора атаки

В отчёте выделяются два наиболее заметных сценария эксплуатации:

• Развёртывание вариантов Mirai — вредоносное ПО запускается уже после компрометации системы и используется как post-exploitation payload.
• Кампания по вымогательству — файлы изменяются путём шифрования и получают расширение .sorry, что соответствует характерным признакам ransomware-активности.

Быстрый рост сообщений о вымогательской активности коррелирует с большим числом хостов cPanel, которые без необходимости публикуют файлы через открытые каталоги. Это, по оценке исследователей, может указывать на масштабную автоматизированную эксплуатацию.

Кто оказался в зоне риска

Расследование показало, что всплеск вредоносных классификаций в основном сосредоточен среди хостов, управляемых провайдерами VPS и хостинг-провайдерами, использующими cPanel. Изначально сравнительный анализ показывал, что системы cPanel вносили лишь незначительный вклад в общий объём активности до 1 мая.

Однако затем ситуация изменилась радикально: за один день было добавлено почти 15 000 новых вредоносных экземпляров cPanel. Такой скачок рассматривается как убедительный индикатор массовой эксплуатации CVE-2026-41940.

Связь с Mirai и роль nuclear.x86

Дальнейший анализ вредоносного ПО, предположительно связанного с этими эксплойтами, указал на вариант Mirai под названием nuclear.x86. При этом исследование бинарного файла показало, что эксплойты для cPanel не были напрямую встроены в ВПО.

Вместо этого вредоносное ПО, по всей видимости, используется как intermediate stage для действий после эксплуатации. Иными словами, cPanel/WHM выступает не как встроенная цель самого payload, а как среда для дальнейшего закрепления и развития атаки.

Признаки ransomware-кампании

Наиболее тревожное развитие событий связано с programa-vymogatel: на более чем 7 000 серверов cPanel были обнаружены новые открытые каталоги, а файлы в них получили расширение .sorry. Это расширение является общей чертой ransomware-активности и, в контексте масштабов инцидента, выглядит особенно показательно.

Структурный паттерн изменений файлов и массовый характер появления новых открытых каталогов вызывают серьёзные опасения относительно скоординированной ransomware-атаки, использующей уязвимость cPanel. По мере обнаружения всё большего числа заражённых систем картина инцидента продолжает развиваться.

Что это означает для инфраструктуры

Ситуация вокруг CVE-2026-41940 демонстрирует, как быстро критическая authentication bypass уязвимость может превратиться в основу для масштабной автоматизированной кампании. На практике это означает повышенные риски как для VPS-провайдеров и хостинг-платформ, так и для владельцев серверов, использующих cPanel/WHM.

Ключевой вывод: обнаруженный всплеск активности, наличие Mirai-образных нагрузок и признаки ransomware указывают на то, что эксплуатация CVE-2026-41940 носит не единичный, а массовый характер.