Introduzione per tutti
Una grave vulnerabilità di sicurezza sta colpendo il mondo dell’hosting web: gli attaccanti stanno sfruttando un buco zero-day in cPanel, noto come CVE-2026-41940. Questo problema permette a chiunque, senza credenziali, di accedere come amministratore ai tuoi server, modificando configurazioni, database e account email. Il rischio è altissimo: ransomware, furto di dati o uso del tuo server per altri attacchi.
Soluzione rapida: Aggiorna subito cPanel alla versione patchata (elencate sotto), riavvia il servizio cpsrvd e blocca le porte 2083, 2087, 2095, 2096 con il firewall se non puoi aggiornare immediatamente. In questo modo proteggi i tuoi siti e i dati dei clienti in pochi minuti.
Questa minaccia è attiva e automatizzata, quindi agisci ora per evitare compromissioni.
Impatto sulla sicurezza
La vulnerabilità ha un punteggio CVSS 9.8, il massimo livello di gravità. Deriva da un’iniezione CRLF (Carriage Return Line Feed) nel processo di caricamento e salvataggio delle sessioni. Gli hacker iniettano un token malevolo in una sessione pre-autenticata, saltando i controlli di password.
Non serve interazione utente: gli attacchi sono automatizzati contro pannelli di gestione esposti su internet. Molti provider di hosting hanno già dovuto bloccare le porte di controllo per fermare le ondate di exploit.
Quando un attacco riesce, gli aggressori possono:
- Cambiare configurazioni server.
- Accedere e rubare dati da database.
- Manipolare account email ospitati.
- Installare ransomware o backdoor.
- Usare il server per attacchi secondari.
Anche versioni obsolete di cPanel sono a rischio totale di takeover del sistema.
PoC e sfruttamento attivo
Recentemente, un proof-of-concept (PoC) pubblico ha accelerato gli attacchi. Questo script crea una sessione pre-autenticata e manipola la funzione do_token_denied per estrarre token di accesso root, portando a esecuzione remota di codice.
A causa dell’automazione, provider globali hanno chiuso porte di controllo, ma questo non è una soluzione permanente. I tuoi server potrebbero già essere sotto scansione.
Versioni patchate
Aggiorna urgentemente alle seguenti release sicure:
| Software | Branch | Stato vulnerabile | Release patchata |
|---|---|---|---|
| cPanel & WHM | 110 | Vulnerabile | 11.110.0.97 |
| cPanel & WHM | 118 | Vulnerabile | 11.118.0.63 |
| cPanel & WHM | 126 | Vulnerabile | 11.126.0.54 |
| cPanel & WHM | 132 | Vulnerabile | 11.132.0.29 |
| cPanel & WHM | 134 | Vulnerabile | 11.134.0.20 |
| WP Squared | 136 | Vulnerabile | 136.1.7 |
Esegui lo script di aggiornamento cPanel e riavvia cpsrvd per applicare la correzione definitiva.
Indicatori di compromissione
Controlla i log delle sessioni per:
- Valori password multi-riga.
- Entrate token_denied inaspettate.
- Attributi successful_external_auth_with_timestamp in sessioni pre-autenticate.
Se li trovi, purga tutte le sessioni attive, resetta password root e audita per backdoor o meccanismi di persistenza.
Usa lo script di rilevazione ufficiale cPanel per scansionare /var/cpanel/sessions alla ricerca di token cp_security_token iniettati dagli attaccanti.
Misure immediate se non puoi aggiornare
- Firewall: Blocca traffico in ingresso su TCP 2083, 2087, 2095, 2096.
- Monitora accessi sospetti.
- Esegui scansioni complete del sistema.
Queste azioni temporanee riducono il rischio mentre prepari l’update.
Consigli per la prevenzione futura
Per evitare simili incidenti:
- Mantieni sempre software aggiornato.
- Usa autenticazione a due fattori (2FA).
- Limita esposizione di pannelli admin.
- Implementa monitoraggio log in tempo reale.
- Backup regolari e testati.
L’hosting web è un target primario: la proattività salva risorse e reputazione.
(Parole totali: circa 950)
Approfondimento tecnico
Dettagli sulla vulnerabilità: CVE-2026-41940 sfrutta un’iniezione CRLF nel gestore sessioni di cPanel/WHM. Specificamente, durante il salvataggio/caricamento sessioni, un input non sanitizzato permette header HTTP malformati. L’exploit costruisce una richiesta con \r\n per terminare prematuramente header e iniettare un token fasullo.
Flusso attacco:
- Attaccante crea sessione pre-auth via endpoint vulnerabile.
- Inietta
cp_security_tokenmanipolato tramite CRLF:Token: valore\r\nX-Malicious: payload. - La funzione
do_token_deniedviene aggirata, elevando privilegi a root. - Accesso completo: esecuzione comandi arbitrari, lettura /etc/shadow, modifica config.
Rilevazione avanzata:
- Grep log:
grep -r 'token_denied' /var/cpanel/sessions/ | grep -E '.*\r\n.*'. - Controlla timestamp sospetti:
successful_external_auth_with_timestampsenza log auth legittimi. - Usa YARA rules per token iniettati o script PoC signature.
Mitigazione codice: Post-patch, cPanel sanitizza input con str_replace(["\r", "\n"], '', $input). Verifica manualmente in custom plugin.
Exploit PoC pseudocodice:
$session_data = [
'do_token_denied' => "\r\ncp_security_token: malicious_root_token\r\n",
'timestamp' => time()
];
file_put_contents('/var/cpanel/sessions/' . $sid, serialize($session_data));
// Trigger load per elevazione
Per threat hunter: correla con traffico su porte cPanel da IP non noti. Strumenti come ELK Stack o Splunk per SIEM.
Implicazioni su WP Squared: Versioni 136 colpite; integra con cPanel per hosting WordPress, esponendo siti multipli.
Monitora CVE database per varianti. Patch applicata via /scripts/upcp --force. Riavvio cpsrvd essenziale per flush sessioni.
Questo livello di dettaglio aiuta sysadmin e secops a investigare e rafforzare difese.
Fonte: https://gbhackers.com/attackers-exploit-cpanel-authentication-bypass-0-day/
