CPanel

📰 Source : Computer Weekly | Date de publication : 3 juin 2026 | Incident : Attaque ransomware contre la NFSP 🎯 La National Federation of Subpostmasters (NFSP), organisation représentant les gérants de bureaux de poste au Royaume-Uni, a été ciblée par une attaque ransomware le 30 avril 2026. 🔓 Le vecteur d’entrée identifié est l’exploitation d’une vulnérabilité critique dans le logiciel cPanel, un panneau de contrôle d’hébergement web utilisé par le prestataire d’hébergement de la NFSP. cPanel avait publié un avis de sécurité en avril pour corriger cette faille, mais celle-ci a été découverte et exploitée par des attaquants avant ou pendant la fenêtre de remédiation. ...

🗓️ Contexte Article publié le 3 mai 2026 sur webhosting.today par Łukasz Nowak. Il s’agit d’un suivi d’une couverture initiale du 29 avril 2026 portant sur la divulgation d’une vulnérabilité critique dans cPanel et WHM. L’article compile des données de Rapid7, Censys, GreyNoise, KnownHost et NocInit. 🔍 Vulnérabilité CVE-2026-41940 est classée CWE-306 (Missing Authentication for Critical Function). Le mécanisme technique repose sur une injection CRLF dans le processus de chargement et sauvegarde de sessions de cPanel, permettant à un attaquant non authentifié de manipuler les fichiers de session et d’injecter des privilèges root, contournant entièrement l’écran de connexion sur les interfaces cPanel et WHM. ...

🔍 Contexte Le 1er mai 2026, l’équipe Censys ARC publie une analyse de menace suite à la divulgation le 29 avril 2026 de CVE-2026-41940, une vulnérabilité critique de contournement de pré-authentification affectant cPanel et WHM. La faille impacte le flux de connexion et permet à un attaquant distant non authentifié de contourner les contrôles d’authentification et d’obtenir un accès élevé. 📈 Détection de la vague d’exploitation Censys a observé une augmentation brutale du nombre d’hôtes classifiés comme malveillants dans son dataset, avec un doublement des comptages par rapport à la veille. En corrélant les données avec les signaux de classification GreyNoise, l’analyse révèle que : ...

🔍 Contexte Le 2 mai 2026, Ctrl-Alt-Intel publie une analyse de threat research basée sur la découverte d’un serveur de staging attaquant exposé. L’article fait suite à la divulgation publique de CVE-2026-41940, un bypass d’authentification critique dans cPanel & WHM (versions après 11.40), initialement documenté par watchTowr Labs le 29 avril 2026. 🎯 Victimologie L’acteur a ciblé principalement : Philippine Coast Guard Philippine Air Force, 15th Strike Wing Philippine Government Arsenal, Department of National Defense Lao Ministry of National Defence Lao Ministry of Natural Resources and Environment MSPs et hébergeurs aux Philippines, Laos, Canada, Afrique du Sud et États-Unis Un portail de formation du secteur de la défense indonésien Des organisations chinoises du secteur ferroviaire (China Railway Society Electrification Committee) ⚙️ Techniques d’attaque Exploitation CVE-2026-41940 : L’acteur a utilisé des PoC publics pour forger des sessions WHM en injectant des valeurs user=root, hasroot=1, tfa_verified=1, obtenant un accès root non authentifié. ...

🗞️ Contexte Article publié le 1er mai 2026 par The Register (Carly Page). Il rapporte l’exploitation active d’une vulnérabilité critique dans cPanel et WHM, l’un des panneaux de gestion d’hébergement web les plus répandus au monde, ainsi que dans WP Squared, une couche de gestion WordPress construite sur la même plateforme. 🔍 Vulnérabilité CVE-2026-41940 — score CVSS 9.8 (critique) Affecte toutes les versions supportées de cPanel/WHM postérieures à la version 11.40, ainsi que WP Squared Un exploit réussi permet la prise de contrôle totale du serveur Le patch a été publié par cPanel un mardi ; l’exploitation était déjà en cours avant cette date CISA a ajouté la faille à son catalogue Known Exploited Vulnerabilities (KEV) le jeudi suivant 📅 Chronologie de l’exploitation 23 février 2026 : premières tentatives d’exploitation observées par l’hébergeur KnownHost (déclaration du CEO Daniel Pearson sur Reddit) Avant le patch : exploitation confirmée en conditions réelles Post-patch : CISA confirme l’exploitation active ; Namecheap a temporairement bloqué l’accès à cPanel/WHM en attendant les correctifs 💥 Impact observé Un propriétaire de petite entreprise a signalé sur Reddit avoir été victime d’une attaque ransomware suite à l’exploitation de cette vulnérabilité sur une configuration cPanel standard Demande de rançon : 7 000 $ pour déverrouiller les systèmes L’hébergeur de la victime semblait débordé par l’incident Rapid7, via Shodan, a identifié environ 1,5 million d’instances cPanel exposées sur Internet cPanel sous-tend l’hébergement de dizaines de millions de sites web 🎯 Profil des cibles Hébergeurs web et leurs clients Petites structures dépendant de fournisseurs d’hébergement mutualisé Sites WordPress gérés via WP Squared 📄 Nature de l’article Article de presse spécialisée relatant une annonce d’incident en cours, combinant des éléments de rapport d’exploitation active, de réponse des hébergeurs et de témoignages de victimes. But principal : informer sur l’étendue de l’exploitation et l’urgence de la situation. ...

Selon Cyber Security News, des chercheurs en sécurité ont mis au jour une opération IPTV illicite à grande échelle s’appuyant sur plus de 1 100 domaines et 10 000 adresses IP pour diffuser des contenus premium non autorisés. L’opération est attribuée à des entités dont XuiOne, Tiyansoft et l’individu Nabi Neamati. Elle s’appuie sur des panneaux de contrôle compromis et une infrastructure à rotation rapide pour résister aux tentatives de démantèlement. L’impact est l’hébergement et la distribution non autorisés de flux premium à grande échelle. 🛰️ ...