CVE-2026-41940として追跡されている致命的なゼロデイ脆弱性は、現在Webホスティング業界全体で積極的に悪用されています。
このCVSS 9.8の欠陥により、認証されていないリモート攻撃者がcPanelをバイパスし、WHMのログインメカニズムを回避できるようになり、サーバーの完全な管理者制御が得られます。
この脆弱性は、アプリケーションのセッション読み込みおよび保存プロセス内のキャリッジリターンラインフィード(CRLF)インジェクション欠陥に起因しています。
攻撃者は、悪意のあるセキュリティトークンを事前認証済みセッションに注入することで、これを悪用し、標準的なパスワード検証チェックを完全にバイパスします。このエクスプロイトではユーザーの操作が不要であるため、脅威アクターはインターネットに面したマネジメントパネルに対する攻撃を簡単に自動化できます。
PoC並びに実際の悪用
セキュリティ企業watchTowr Labsは最近、リモートコード実行を容易に達成する概念実証(PoC)エクスプロイトスクリプトを公開して、攻撃を加速させました。
このPoCは事前認証セッションを生成し、do_token_denied関数を操作してルートアクセストークンを抽出します。広範囲の自動化されたエクスプロイテーションにより、多くのグローバルホスティングプロバイダーは顧客データを保護するためにコントロールパネルポートをブロックするよう強いられています。
攻撃者がこの脆弱性を正常に悪用すると、サーバー設定、データベース、ホストされているメールアカウントを操作できます。このレベルのアクセスにより、ランサムウェアをデプロイしたり、機密な顧客データを流出させたり、侵害されたインフラストラクチャーをダウンストリーム攻撃に使用したりできます。
この欠陥の深刻さは、古いバージョンまたはサポートされていないcPanelバージョンを実行しているサーバーでも、完全なシステム乗っ取りに対する極めて高い脆弱性を維持していることを意味します。
パッチ適用済みバージョン
この脆弱性は、cPanel、WHM、およびWP Squaredのすべての現在サポートされているビルドに影響します。管理者は、インフラストラクチャーを以下のセキュアリリースに更新することを優先する必要があります。
| ソフトウェアブランチ | 脆弱性のステータス | パッチ適用済みリリース |
|---|---|---|
| cPanel & WHM 110 | 脆弱 | 11.110.0.97 |
| cPanel & WHM 118 | 脆弱 | 11.118.0.63 |
| cPanel & WHM 126 | 脆弱 | 11.126.0.54 |
| cPanel & WHM 132 | 脆弱 | 11.132.0.29 |
| cPanel & WHM 134 | 脆弱 | 11.134.0.20 |
| WP Squared 136 | 脆弱 | 136.1.7 |
脅威ハンターは、複数行のパスワード値や予期しないtoken_deniedエントリの兆候がないかセッションログを調査する必要があります。
さらに、successful_external_auth_with_timestamp属性を含む事前認証セッションは、無許可のセッション昇格の重大な指標です。
これらの成果物を発見した組織は、すべてのアクティブセッションを直ちに削除し、ルートパスワードのリセットを強制し、バックドアなどの永続化メカニズムの可能性についてシステムを監査する必要があります。
管理者は直ちにcPanel更新スクリプトを実行し、cpsrvdサービスを再起動して永続的な修正を適用する必要があります。パッチの適用が遅延する場合、組織は未承認アクセスを防ぐためにファイアウォールを構成してTCPポート2083、2087、2095、および2096の着信トラフィックをブロックする必要があります。
セキュリティチームはまた、cPanelの公式検出スクリプトを使用して/var/cpanel/sessionsディレクトリをスキャンして、攻撃者が注入したcp_security_token値などの侵害の兆候を検出できます。
翻訳元: https://gbhackers.com/attackers-exploit-cpanel-authentication-bypass-0-day/
