Exploitation active de la faille critique cPanel ciblant des infrastructures critiques

Des attaquants exploitent activement une vulnérabilité critique dans cPanel pour cibler des entités gouvernementales, militaires et des fournisseurs de services gérés (MSP) dans plusieurs pays, notamment aux Philippines, au Laos, aux États-Unis et en Afrique du Sud.

Points clés :

• Cibles : Institutions étatiques et militaires, MSP et hébergeurs.
• Méthodes : Utilisation de preuves de concept (PoC) publiques pour l’exploitation automatisée, combinée à l’usage du framework de commande et contrôle AdaptixC2.
• Persistance : Les attaquants maintiennent leur accès via OpenVPN, Ligolo et des services systemd.
• Impact : Exfiltration massive de documents et déploiement potentiel de botnets (Mirai) et de ransomwares.

Vulnérabilité :

• CVE-2026-41940 : Faille critique d’authentification dans cPanel et WebHost Manager (WHM) permettant le contournement de l’authentification et une prise de contrôle à distance (RCE).

Recommandations :

• Mise à jour immédiate : Appliquer sans délai les correctifs fournis par cPanel.
• Audit et nettoyage : Utiliser les scripts de détection officiels de cPanel pour identifier toute compromission.
• Investigation : Rechercher des indicateurs de compromission (IoC) liés à une activité inhabituelle sur les services de contrôle ou une persistance via des outils réseau (OpenVPN/Ligolo).
• Assainissement : En cas d’infection confirmée, suivre les procédures recommandées pour nettoyer l’environnement serveur et réinitialiser les accès.

Source