Attacco attivo cPanel, backdoor Filemanager in distribuzione

Mr_Rot13 sfrutta CVE-2026-41940 in cPanel/WHM per diffondere backdoor Filemanager. Oltre 2.000 IP attaccano server non patchati: verificare istanze esposte.

Contenuto

Attacco attivo cPanel, backdoor Filemanager in distribuzione
Attacco attivo cPanel, backdoor Filemanager in distribuzione

Il threat actor Mr_Rot13 sta sfruttando attivamente la vulnerabilità CVE-2026-41940 in cPanel, WHM e WP Squared per distribuire il backdoor cross-platform Filemanager. Secondo dati resi noti l'11 maggio 2026 da The Hacker News che cita QiAnXin XLab, oltre 2.000 IP attacker sono coinvolti in attacchi automatizzati contro istanze non aggiornate. Secondo Picus Security, che cita watchTowr Labs, l'exploitation in-the-wild risulta confermata da fine febbraio 2026: ogni istanza esposta e non patchata entro il 28 aprile 2026 deve essere trattata come potenzialmente compromessa.

Punti chiave
  • Mr_Rot13 distribuisce il backdoor Filemanager per Windows, macOS e Linux sfruttando l'authentication bypass; l'infector Go-based esfiltra dati sensibili verso un gruppo Telegram gestito dall'utente '0xWR'.
  • La vulnerabilità CVE-2026-41940 si basa su una CRLF injection nel file di sessione pre-autenticazione di cPanel: il server interpreta la cache JSON come sessione autenticata di root senza richiedere password.
  • Oltre 2.000 IP attacker distribuiti in Germania, Stati Uniti, Brasile, Paesi Bassi e altre regioni conducono attacchi automatizzati; Picus Security stima che circa 1,5 milioni di server cPanel siano potenzialmente esposti.
  • cPanel ha rilasciato le patch il 28 aprile 2026 e uno script di rilevamento IoC, mentre CISA ha inserito la CVE nel catalogo KEV il 30 aprile 2026 con scadenze di mitigazione fissate per il 3 maggio 2026.

Come funziona il bypass di autenticazione in CVE-2026-41940

CVE-2026-41940 è classificata con CWE-306 Missing Authentication for Critical Function e ha ottenuto un punteggio CVSS 3.1 di 9,8 secondo VulnCheck. La vulnerabilità risiede nel meccanismo di gestione delle sessioni pre-autenticazione di cPanel: un attaccante può iniettare linee nel file di sessione raw sfruttando una CRLF injection. Il token-denied handler promuove queste linee nella cache JSON, generando una divergenza tra la rappresentazione raw e quella in cache. Il server interpreta quindi la sessione come autenticata di root senza che venga richiesta alcuna password, aprendo la strada all'esecuzione remota di comandi tramite funzionalità WHM legittime.

Poiché l'intero processo avviene in fase pre-autenticazione, l'attaccante non ha bisogno di credenziali valide né di interazione con l'utente. Una volta ottenuto l'accesso amministrativo, il pannello WHM offre strumenti nativi che possono essere abusati per eseguire codice arbitrario sul server, rendendo il passaggio dal bypass iniziale al controllo totale del host immediato e silenzioso.

Mr_Rot13 e il backdoor Filemanager: architettura e persistenza

Dopo aver ottenuto l'accesso come root, Mr_Rot13 installa il backdoor Filemanager, agente cross-platform in grado di operare su Windows, macOS e Linux. Secondo l'analisi di QiAnXin XLab riportata da The Hacker News, uno script scarica un infector Go-based dal dominio wpsock.com per posizionare la backdoor e una web shell PHP sul server compromesso. Filemanager offre funzionalità di file management, esecuzione remota di comandi e shell interattiva, trasformando il server in una piattaforma di accesso persistente.

L'infector si occupa di raccogliere bash history, dati SSH, password database e configurazioni valiases, esfiltrando il tutto verso un gruppo Telegram gestito dall'utente '0xWR'. Questo meccanismo di esfiltrazione indica un'attenzione particolare alla raccolta di credenziali e alla mappatura della rete interna, fasi tipiche di un'operazione di spionaggio a lungo termine piuttosto che di un attacco opportunistico.

L'infrastruttura di comando e controllo si appoggia al dominio wrned.com, registrato nell'ottobre 2020 e già associato a un campione PHP backdoor caricato su VirusTotal nell'aprile 2022. QiAnXin XLab nota che nei sei anni di attività, dal 2020 a oggi, il tasso di rilevamento dei campioni e dell'infrastruttura di Mr_Rot13 sui prodotti di sicurezza è rimasto estremamente basso. Questa longevità, combinata alla bassa visibilità, suggerisce un threat actor che ha perfezionato le tecniche di occultamento ben prima dell'attuale campagna su cPanel.

"Monitoring data shows that more than 2,000 attacker source IPs worldwide are currently involved in automated attacks and cybercrime activities targeting this vulnerability" — QiAnXin XLab, riportato da The Hacker News

Oltre 2.000 IP e 1,5 milioni di server: la superficie d'attacco

L'11 maggio 2026, QiAnXin XLab ha reso noto che oltre 2.000 IP attacker distribuiti in Germania, Stati Uniti, Brasile, Paesi Bassi e altre regioni stanno conducendo attacchi automatizzati contro la CVE-2026-41940. La natura automatizzata delle offensive indica l'uso di scanner e exploit kit capaci di identificare e colpire istanze vulnerabili a velocità di rete, senza intervento umano diretto nel singolo breach.

Parallelamente, Picus Security stima che circa 1,5 milioni di server cPanel siano potenzialmente esposti a livello globale, sebbene il numero di compromissioni effettive confermate non sia quantificato. La gravità della minaccia è sottolineata dall'inserimento della vulnerabilità nel catalogo Known Exploited Vulnerabilities di CISA il 30 aprile 2026, con scadenze di mitigazione fissate per il 3 maggio 2026. L'agenzia federale ha riconosciuto esplicitamente che la falla è soggetta a exploitation attiva e richiede un intervento immediato.

L'hosting condiviso come vettore di supply chain informale

Il vero pericolo di questa campagna risiede nella natura dell'hosting condiviso. La compromissione di WHM equivale al controllo di root sull'intero host e, di conseguenza, all'esposizione di ogni sito web ospitato sullo stesso server. Un singolo pannello gestito da un provider può contenere centinaia di domini di clienti ignari, che diventano vettori di attacco a valle senza alcuna colpa propria.

In questo senso, cPanel non è solo una piattaforma di gestione, ma un anello di supply chain informale il cui compromissione si propaga silenziosamente attraverso siti e-commerce, blog aziendali e applicazioni web. I visitatori di un sito ospitato su un server violato non hanno modo di verificare la sicurezza del provider sottostante, rendendo l'hosting condiviso un amplificatore di rischio sistemico che le aziende sottovalutano routinariamente nei loro assessment di terze parti.

Cosa fare adesso

  • Patchare immediatamente cPanel, WHM e WP Squared alle versioni corrette rilasciate il 28 aprile 2026, verificando manualmente l'installazione sui server dove gli aggiornamenti automatici sono disabilitati o soggetti a version pinning. cPanel ha esplicitamente avvisato che le istanze con auto-update disattivato non ricevono la correzione automaticamente.
  • Ruotare le credenziali di root, reseller e account utente su ogni istanza che sia rimasta esposta a Internet e non patchata entro il 28 aprile 2026, trattandola come potenzialmente compromessa indipendentemente dall'assenza di indicatori visibili.
  • Eseguire lo script IoC pubblicato da cPanel per la rilevazione di indicatori di compromissione specifici della CVE-2026-41940. Lo strumento è progettato per identificare anomalie nei file di sessione e nelle web shell note associate all'exploitation.
  • Condurre threat hunting alla ricerca della backdoor Filemanager, web shell PHP, connessioni sospette verso il dominio wrned.com o anomalie nell'esfiltrazione di dati sensibili come bash history e configurazioni SSH. Particolare attenzione va posta alla persistenza in cron e nei servizi di avvio.

Mr_Rot13 dimostra che la longevità di un threat actor non si misura solo dalla sofisticazione del malware, ma dalla capacità di rimanere sotto la soglia di rilevamento per anni. L'hosting condiviso, spesso considerato una commodity a basso rischio, si rivela invece un moltiplicatore di attacco capace di trasformare ogni provider in un passaggio obbligato della supply chain informale. La risposta non può limitarsi al patching: richiede una rimotizzazione del monitoraggio a livello di infrastruttura, dove la compromissione di un singolo pannello può compromettere centinaia di asset a valle.

Domande frequenti

Mr_Rot13 ha creato la vulnerabilità CVE-2026-41940?
No, non risulta che il threat actor abbia creato la falla o possedesse un exploit zero-day. La vulnerabilità è una authentication bypass pre-esistente, e non è noto se Mr_Rot13 l'abbia sfruttata prima o dopo la pubblicazione delle patch di aprile 2026.

Sono a rischio solo i server con cPanel?
Le versioni affette includono cPanel, WHM e WP Squared successive alla 11.40. Ogni istanza esposta a Internet e non aggiornata entro il 28 aprile 2026 deve essere considerata a rischio.

Quali sono gli indicatori di compromissione principali?
Oltre alla presenza del backdoor Filemanager e di web shell PHP, cPanel ha rilasciato uno script di rilevamento IoC specifico per la CVE-2026-41940. Si raccomanda inoltre di verificare anomalie nelle credenziali di root e traffico sospetto verso domini noti come wrned.com.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews