Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

cPanel CVE-2026-41940 Under Active Exploitation to Deploy Filemanager Backdoor

1 minute de lecture

Mis à jour :

Exploitation active de la faille critique cPanel : Déploiement de backdoors

La vulnérabilité critique CVE-2026-41940 affectant cPanel et WebHost Manager (WHM) fait l’objet d’une exploitation massive par plus de 2 000 adresses IP malveillantes à travers le monde. Attribuée à l’acteur de menace “Mr_Rot13”, actif depuis 2020, cette campagne vise à déployer des backdoors complexes pour prendre le contrôle total des serveurs compromis.

Points clés :

  • Mode opératoire : L’attaque exploite le contournement d’authentification pour injecter des scripts malveillants via wget ou curl.
  • Persistance et vol de données : Les attaquants installent des clés SSH publiques, des web shells PHP et injectent du code JavaScript sur les pages de connexion pour dérober des identifiants (transmis via chiffrement ROT13).
  • Objectifs multiples : Au-delà du vol d’informations (historique bash, bases de données, fichiers SSH), la campagne facilite le minage de cryptomonnaies, les rançongiciels et la propagation de botnets.
  • Infrastructure : Utilisation de domaines de commande et contrôle (C2) persistants (ex: wrned.com) et exfiltration de données sensibles vers des groupes Telegram.

Vulnérabilité :

  • CVE-2026-41940 : Faille critique permettant le contournement de l’authentification et l’élévation des privilèges sur cPanel/WHM.

Recommandations :

  • Mise à jour immédiate : Appliquer sans délai les correctifs de sécurité fournis par cPanel pour corriger la CVE-2026-41940.
  • Audit de sécurité : Rechercher sur les serveurs la présence de web shells (notamment les scripts téléchargeant des fichiers depuis les domaines wpsock[.]com ou cp.dene[.]com).
  • Surveillance des accès : Vérifier les clés SSH autorisées sur le serveur et surveiller les journaux (logs) pour détecter toute activité suspecte ou connexion non autorisée.
  • Rotation des identifiants : En cas de compromission avérée, réinitialiser tous les mots de passe et les clés d’accès, car ceux-ci doivent être considérés comme exfiltrés.

Source

Vous pourriez aimer