🗓️ Contexte

Article publié le 3 mai 2026 sur webhosting.today par Łukasz Nowak. Il s’agit d’un suivi d’une couverture initiale du 29 avril 2026 portant sur la divulgation d’une vulnérabilité critique dans cPanel et WHM. L’article compile des données de Rapid7, Censys, GreyNoise, KnownHost et NocInit.

🔍 Vulnérabilité

CVE-2026-41940 est classée CWE-306 (Missing Authentication for Critical Function). Le mécanisme technique repose sur une injection CRLF dans le processus de chargement et sauvegarde de sessions de cPanel, permettant à un attaquant non authentifié de manipuler les fichiers de session et d’injecter des privilèges root, contournant entièrement l’écran de connexion sur les interfaces cPanel et WHM.

  • CVSS : 9.8 CRITICAL
  • Exploitation distante, sans authentification, sans interaction utilisateur
  • Résultat : compromission totale (confidentialité, intégrité, disponibilité)
  • Versions affectées : cPanel/WHM 11.86.0 à 11.136.0 ; WP Squared v136.1.7 et antérieures

⏱️ Timeline d’exploitation

  • 23 février 2026 : premières tentatives d’exploitation confirmées par KnownHost CEO Daniel Pearson
  • Mi-avril 2026 : divulgation responsable à cPanel par un chercheur (réponse initiale de cPanel : « rien d’anormal »)
  • 28 avril 2026 : advisory public cPanel, prise hors ligne des panneaux de contrôle par les hébergeurs
  • 30 avril 2026 : ajout au catalogue KEV de la CISA
  • 3 mai 2026 : deadline de remédiation fédérale US

La fenêtre d’exploitation sans patch ni advisory public est estimée à 64 jours.

📊 Échelle d’exposition

  • Rapid7 / Shodan : ~1,5 million d’instances cPanel potentiellement vulnérables exposées sur Internet
  • Censys : 1 052 657 hôtes cPanel/WHM identifiés
  • 1er mai 2026 : 15 448 hôtes cPanel/WHM observés participant à des activités malveillantes (79,99 % de tous les hôtes malveillants trackés par GreyNoise ce jour-là), contre 146 la veille — multiplication par ~100 en 24h

🦠 Campagnes d’exploitation actives

Campagne 1 — Sorry Ransomware :

  • Variante basée sur Hidden-Tear
  • Renomme les fichiers victimes avec l’extension .sorry
  • Note de rançon référençant l’outil de communication qTox
  • 7 135 hôtes cPanel/WHM affichant des extensions .sorry identifiés par Censys
  • Cible prioritaire : fichiers WordPress core (wp-config.php, wp-cron.php, wp-load.php, wp-settings.php)

Campagne 2 — Botnet Mirai (nuclear.x86) :

  • Déploiement via Telnet post-compromission
  • Binaire téléchargé depuis 87.121.84.78
  • Suppression du binaire après exécution pour effacer les traces
  • Exemple documenté : serveur HostGator compromis le 29 avril 2026 à 22h59, 2 481 tentatives de connexion échouées enregistrées

Contexte — Brutus Botnet :

  • Documenté depuis mars 2024, ciblant les ports cPanel 2082 et 2083
  • Connecté aux opérations Black Basta ransomware par EclecticIQ en mars 2025
  • Aucun lien explicite établi avec CVE-2026-41940, mais chevauchement de surface d’attaque noté

🏢 Hébergeurs les plus impactés (hôtes malveillants identifiés par Censys)

Fournisseur Hôtes malveillants
DigitalOcean 1 043
Contabo 716
OVH 501
Vultr 391
Oracle 321
Unified Layer 280
Hetzner 277
Akamai Linode 275
GoDaddy 209
Microsoft 169

📋 Type d’article

Article de presse spécialisée à visée informationnelle et opérationnelle, destiné aux opérateurs d’hébergement web. Il compile des données de sources multiples (Censys, Rapid7, GreyNoise, témoignages d’opérateurs) pour documenter l’étendue de l’incident CVE-2026-41940 et sa timeline d’exploitation.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Brutus Botnet (cybercriminal) —
  • Black Basta (cybercriminal) — MITRE ATT&CK

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1498 — Network Denial of Service (Impact)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1053 — Scheduled Task/Job (Persistence)
  • T1098 — Account Manipulation (Persistence)
  • T1110 — Brute Force (Credential Access)

IOC

  • IPv4 : 87.121.84.78AbuseIPDB · VT · ThreatFox
  • CVEs : CVE-2026-41940NVD · CIRCL
  • Fichiers : nuclear.x86
  • Chemins : /var/cpanel/sessions/raw/
  • Chemins : /root/.ssh/authorized_keys
  • Chemins : /etc/cron.d/
  • Chemins : /etc/crontab
  • Chemins : /var/spool/cron/

Malware / Outils

  • Sorry Ransomware (ransomware)
  • Hidden-Tear (ransomware)
  • nuclear.x86 (botnet)
  • Mirai (botnet)

🟡 Indice de vérification factuelle : 63/100 (moyenne)

  • ⬜ webhosting.today — source non référencée (0pts)
  • ✅ 15718 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 8 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 1/1 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, VirusTotal) (8pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Brutus Botnet, Black Basta (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 87.121.84.78 (ip) → AbuseIPDB (76% confiance, 205 signalements) + VT (23/92 détections)

🔗 Source originale : https://webhosting.today/2026/05/03/the-cpanel-zero-day-was-active-for-64-days-before-anyone-knew/