cPanel CVE-2026-41940 sotto attacco: oltre 2.000 IP attivi
Mr_Rot13 sfrutta CVE-2026-41940 su cPanel per Filemanager. Oltre 2.000 IP in attacco, detection quasi nulla dal 2020 con infector Go.
Contenuto
Il 12 maggio 2026, i ricercatori di QiAnXin XLab hanno reso pubblica una campagna di attacco in corso che sfrutta la vulnerabilità CVE-2026-41940 in cPanel e WHM per installare la backdoor Filemanager. L’attore di minaccia, identificato come Mr_Rot13, sfrutta un authentication bypass nel session management layer del pannello di controllo, trasformando sessioni non autenticate in accessi validi con privilegi amministrativi. La dimostrazione tecnica conferma che anche le infrastrutture di hosting condiviso, spesso considerate secondarie rispetto ai target corporate, possono diventare piattaforme di spionaggio a persistenza multi-OS.
- La vulnerabilità CVE-2026-41940 interessa cPanel e WHM in versioni successive alla 11.40 ed è classificata con punteggio CVSS 9.8: un code path che gestisce Basic authentication scrive su disco senza l’input sanitisation presente nell’altro flusso, consentendo di far trattare una sessione non autenticata come autenticata.
- L’attore di minaccia Mr_Rot13 utilizza uno script shell che scarica un infector scritto in Go, progetto Payload, per installare chiavi SSH, web shell PHP e la backdoor Filemanager con capacità cross-platform.
- I ricercatori hanno rilevato oltre 2.000 IP di attacco distribuiti principalmente tra Germania, Stati Uniti, Brasile e Paesi Bassi, in una campagna automatizzata che inietta JavaScript nella pagina di login di cPanel per rubare credenziali.
- I dati sottratti, inclusi bash history, password di database e file valiases, vengono esfiltrati verso un gruppo Telegram controllato dall’attaccante, mentre il dominio
wrned[.]comusato per il credential harvesting risulta registrato dall’ottobre 2020.
Il bypass nel session management: due code path e una sessione falsificata
La vulnerabilità CVE-2026-41940 risiede nel modo in cui cPanel e WHM gestiscono le sessioni durante l’handling di Basic authentication. Secondo la ricostruzione tecnica pubblicata da cPanel, esistono due code path per la gestione delle richieste: uno dei due scrive informazioni su file di sessione su disco senza applicare l’input sanitisation presente nell’altro flusso. Inviando una richiesta appositamente costruita, un attaccante può forzare il sistema a trattare una sessione non autenticata come autenticata, bypassando completamente il controllo delle credenziali.
Il National Vulnerability Database classifica la falla con punteggio CVSS 9.8. Il Cybersecurity and Infrastructure Security Agency l’ha inserita nel catalogo Known Exploited Vulnerabilities il 30 aprile 2026, fissando al 3 maggio 2026 la scadenza per l’applicazione delle mitigazioni nelle agenzie federali statunitensi. cPanel ha reso disponibili gli aggiornamenti il 28 aprile 2026, circa 28 ore dopo la conferma della vulnerabilità. Il vendor dichiara che oltre il 98% dei server gestiti è stato aggiornato, un dato tuttavia non verificabile tramite fonti indipendenti al momento della pubblicazione.
Payload e Filemanager: l’infector Go che apre tutte le porte
Il 4 maggio 2026, analizzando i payload consegnati attraverso CVE-2026-41940, i ricercatori di QiAnXin XLab hanno isolato un componente distintivo. Si tratta di uno script shell che recupera un infector compilato in Go, con nome progetto Payload, ospitato sul dominio cp.dene[.]de.com. Una volta in esecuzione, il binario installa chiavi SSH non autorizzate, web shell PHP e la backdoor Filemanager, garantendo persistenza cross-platform al di fuori del normale perimetro di autenticazione di cPanel.
"Monitoring data shows that more than 2,000 attacker source IPs worldwide are currently involved in automated attacks and cybercrime activities targeting this vulnerability" — QiAnXin XLab researchers via The Hacker News
L’infector Go contiene inoltre un significativo volume di messaggi di log in lingua turca, che i ricercatori valutano probabilmente generati tramite strumenti automatici, sebbene questa ipotesi non sia verificabile con certezza al di fuori del contesto del report. La backdoor Filemanager non si limita al controllo remoto: il codice malevolo inietta JavaScript nella pagina di login di cPanel per intercettare username e password, inviandole al dominio wrned[.]com dopo una codifica ROT13. Una volta raccolte, le credenziali e altri dati sensibili estratti dal server, inclusi file di configurazione e cronologie di comando, vengono incanalati verso un gruppo Telegram controllato dall’attaccante.
Domini del 2020 e detection invisibile: l’ombra lunga di Mr_Rot13
L’infrastruttura rivelata dall’analisi di QiAnXin XLab conferma una linea temporale insolitamente lunga per un threat actor attivo nell’ecosistema hosting condiviso. Il dominio wrned[.]com, oggi utilizzato come punto di raccolta del credential harvesting, risulta registrato fin dall’ottobre 2020. A ottobre non segue un vuoto: un campione PHP backdoor denominato helper.php, collegato alla medesima infrastruttura, era già stato caricato sulla piattaforma VirusTotal nell’aprile 2022, riportando all’epoca un tasso di detection trascurabile dai prodotti di sicurezza.
Questa continuità spiega in parte perché, nonostante l’attività protratta, il gruppo sia rimasto al di fuori dei radar principali. I ricercatori sottolineano che nei circa sei anni trascorsi dal 2020 la detection rate di campioni e infrastrutture collegati a Mr_Rot13 è rimasta estremamente bassa sui prodotti di sicurezza. Non è noto se il gruppo operi sotto un mandato geografico o politico specifico: l’unica traccia contestuale resta il linguaggio osservato nel malware e la stabilità dei domini utilizzati, elementi insufficienti per un’attribuzione precisa.
Cosa fare adesso
- Patch immediata: verificare che l’istanza cPanel/WHM esegua una versione corretta rilasciata dal 28 aprile 2026 e che includa la correzione per CVE-2026-41940. CISA ha imposto la mitigazione entro il 3 maggio 2026 per le infrastrutture governative statunitensi, ma il rischio rimane attivo per ogni server non aggiornato.
- Scan post-compromissione: ispezionare il filesystem alla ricerca di web shell PHP, chiavi SSH non autorizzate e del binario Go associato al progetto Payload, utilizzando gli indicatori di compromissione pubblicati da watchTowr e da cPanel.
- Controllo del frontend: controllare eventuali modifiche non autorizzate ai template della pagina di login di cPanel e WHM, dove il JavaScript di credential harvesting potrebbe essere stato iniettato per replicare le credenziali a insaputa degli amministratori.
- Monitoraggio del traffico: allertare i sistemi di network monitoring sui domini noti wrned[.]com e cp.dene[.]de.com, nonché su comunicazioni verso gruppi Telegram, rilevabili come canale di esfiltrazione dati sensibili come bash history, password di database e file valiases.
Perché l’hosting condiviso è il nuovo campo di battaglia
L’operazione documentata il 12 maggio 2026 ribalta l’assunto che gli attori di minaccia avanzati si concentrino esclusivamente su grandi enterprise o infrastrutture cloud. Mr_Rot13 ha dimostrato che un modello a bassa intensità ma altamente resiliente, fondato su domini vecchi di anni e detection quasi nulla, può estrarre valore duraturo proprio dai server di hosting condiviso, dove la frammentazione di responsabilità tra provider e clienti spesso rallenta il patching.
Per i provider, la lezione è duplice: la velocità di aggiornamento conta, ma non basta. Una volta che il bypass ha consentito l’accesso iniziale, la backdoor Filemanager e le web shell PHP permettono di sopravvivere anche al riavvio o alla migrazione, trasformando ogni host in una potenziale piattaforma di spionaggio. La persistenza cross-platform dell’infector Go indica inoltre che il perimetro di difesa deve estendersi oltre il solo pannello cPanel, abbracciando il monitoraggio del sistema operativo sottostante e del traffico outbound.
FAQ
- Cosa distingue Mr_Rot13 da altri gruppi che attaccano cPanel?
- La caratteristica distintiva è il tasso di detection estremamente basso sui propri campioni dal 2020, unito all’uso di infrastrutture registrate anni prima e riutilizzate in campagne successive senza rotture operative evidenti.
- La patch di cPanel è sufficiente a neutralizzare la minaccia?
- L’aggiornamento corregge la vulnerabilità, ma i sistemi già compromessi richiedono una scansione post-incidente per rimuovere backdoor, web shell e chiavi SSH installate tramite l’infector Go, altrimenti la persistenza rimane attiva.
- Perché il malware utilizza ROT13 per le credenziali?
- ROT13 è uno schema di codifica base che, pur non offrendo crittografia reale, può sfuggire a filtri di detection meno sofisticati; il nome stesso del gruppo, Mr_Rot13, sembra riflettere questa scelta stilistica osservata nell’infrastruttura.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/05/cpanel-cve-2026-41940-under-active.html
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://securityaffairs.com/192013/cyber-crime/attackers-exploit-cpanel-cve-2026-41940-to-deploy-filemanager-backdoor.html
- https://www.cpanel.net/blog/security/security-update-cve-2026-41940/
- https://thomasharris6.wordpress.com/2026/05/11/cpanel-cve-2026-41940-under-active-exploitation-to-deploy-filemanager-backdoor/