cPanel WHM: patch maggio e zero-day Mirai/Sorry

cPanel ha corretto tre nuove vulnerabilità WHM e conferma che lo zero-day CVE-2026-41940 ha distribuito Mirai e ransomware Sorry su server condivisi.

Contenuto

cPanel WHM: patch maggio e zero-day Mirai/Sorry
cPanel WHM: patch maggio e zero-day Mirai/Sorry

cPanel ha rilasciato il 9 maggio 2026 aggiornamenti di sicurezza per cPanel e WHM che correggono tre vulnerabilità, tra cui due con punteggio fino a 8.8 sullo scala CVSS, mentre conferma che la falla di autenticazione CVE-2026-41940 scoperta ad aprile è stata sfruttata attivamente come zero-day per distribuire varianti del botnet Mirai e il ransomware Sorry. La patch arriva in un contesto di emergenza: provider globali avevano già bloccato le porte 2083 e 2087 lasciando migliaia di amministratori senza pannello, e la compromissione di WHM espone l’intero server condiviso a un controllo root equivalente a una breccia multi-tenant totale. Per gli hosting provider e i server che eseguono cPanel/WHM, l’aggiornamento immediato e la verifica degli indicatori di compromissione per CVE-2026-41940 sono diventati imperativi operativi.

Punti chiave
  • cPanel ha corretto tre nuove vulnerabilità (CVE-2026-29201, CVE-2026-29202, CVE-2026-29203) con punteggi CVSS fino a 8.8, anche se al momento non risultano evidenze di exploitation in the wild.
  • La falla CVE-2026-41940, un authentication bypass con punteggio di 9.8, è stata sfruttata come zero-day per distribuire varianti di Mirai e il ransomware Sorry, spingendo la CISA ad inserirla nel catalogo KEV.
  • Il meccanismo di attacco sfrutta una CRLF injection nell’header Authorization: Basic per manipolare il file di sessione di cpsrvd e ottenere privilegi di root, con conseguente accesso amministrativo completo sul server.
  • La compromissione di WHM non si limita a un singolo sito: garantisce accesso root a tutti gli account hosting ospitati, con rischio concreto di furto dati multi-tenant, defacement e pivoting verso le reti dei clienti.

Il meccanismo CRLF che trasforma un header in una sessione root

La vulnerabilità CVE-2026-41940 non si basa su una complessa catena di exploit, ma su una singola, grave omissione nella gestione dell’header Authorization: Basic. Inviando sequenze \r\n malevole all’interno dell’header, un attaccante può iniettare proprietà arbitrarie nel file di sessione generato dal demone cpsrvd. Poiché il sistema scrive tale file senza sanitizzare il contenuto, è possibile inserire direttive come user=root, bypassando completamente l’autenticazione e ottenendo una sessione amministrativa valida.

Una volta ottenuto il controllo di WHM, l’attaccante dispone di privilegi root sull’intera macchina fisica o virtuale. Non si tratta quindi di una compromissione limitata a un singolo dominio, ma di un accesso multi-tenant che espone tutti gli account ospitati, i database, le email e le configurazioni DNS gestite dal server. Hadrian, citato da The Hacker News, sottolinea proprio questa distinzione: la breccia non è quella di un sito cliente, ma del sistema che ne governa centinaia o migliaia.

"Compromise of cPanel is materially different from the compromise of a single customer website. WHM grants root administrative access to the server."

Mirai e Sorry: lo zero-day di aprile diventa un vettore di attacco multiplo

cPanel ha confermato che CVE-2026-41940 è stata weaponizzata come zero-day da threat actor per distribuire varianti del botnet Mirai e una famiglia di ransomware denominata Sorry. L’attacco sfrutta l’authentication bypass per installare payload multipli sul server compromesso, trasformando l’infrastruttura condivisa in un veicolo sia per il coordinamento di botnet sia per la cifratura dei dati dei clienti finali.

Non è chiaro se il ransomware Sorry abbia già causato incidenti pubblici documentati o se il nome derivi da un singolo campione analizzato dagli operatori. Tuttavia, la CISA ha ritenuto la minaccia sufficientemente urgente da inserire la vulnerabilità nel catalogo Known Exploited Vulnerabilities, imponendo alle agenzie federali l’applicazione delle patch entro il 3 maggio 2026. La data esatta di inizio exploitation non è determinata con precisione ufficiale: secondo testimonianze non ufficiali riportate da The Hacker News, l’attività malevola sarebbe visibile da almeno 30 giorni prima del 29 aprile 2026.

Perché il blocco delle porte 2083 e 2087 ha paralizzato l’hosting condiviso

Nelle ore immediatamente successive alla divulgazione di aprile, provider di rilevo globale come Namecheap hanno reagito bloccando le porte TCP 2083 e 2087, utilizzate rispettivamente per l’accesso cPanel e WHM su HTTPS. La misura, concepita come mitigazione temporanea prima del rilascio della patch completa, ha di fatto isolato migliaia di amministratori di sistema dai propri pannelli di gestione. Benjamin Harris, CEO di watchTowr Labs, ha descritto la reazione: "Within hours of the advisory dropping, nearly every major hosting provider on the planet had firewalled their own customers off their own product".

L’episodio ha messo a nudo la fragilità del supply chain dell’hosting condiviso. Quando un singolo software di controllo infrastrutturale presenta una falla di autenticazione con punteggio di 9.8, i provider non dispongono di valvole di sicurezza granulari: devono scegliere tra lasciare esposti milioni di siti o disconnettere i propri clienti. Eye Security ha stimato che oltre 2 milioni di istanze cPanel sono esposte su Internet, senza che sia noto quante di esse abbiano l’aggiornamento automatico abilitato.

Le tre nuove CVE di maggio e il rischio del supply chain hosting

Oltre a confermare lo sfruttamento dello zero-day, cPanel ha rilasciato il 9 maggio 2026 correzioni per tre nuove falle. CVE-2026-29202 consente arbitrary Perl code execution con punteggio fino a 8.8, CVE-2026-29203 permette unsafe symlink handling che può condurre a chmod arbitrario su file di sistema con punteggio fino a 8.8, mentre CVE-2026-29201 consente arbitrary file read con punteggio di appena 4.3. Non ci sono evidenze, al momento dell’advisory, che queste tre vulnerabilità siano già state sfruttate in the wild.

Il nucleo tecnico delle nuove patch tocca componenti critiche: l’API create_user per l’esecuzione di codice Perl, l’adminbin LOADFEATUREFILE per la lettura arbitraria di file e la gestione dei symlink per la modifica dei permessi di sistema. Anche se non risultano exploitation attive, la combinazione di queste falle in un ambiente WHM già compromesso potrebbe agevolare la persistenza e l’escalation locale di un attaccante. Non è confermato se le tre vulnerabilità siano emerse durante l’investigazione sullo zero-day CVE-2026-41940 o se rappresentino scoperte indipendenti.

Per i server ancora in esecuzione su CentOS 6 o CloudLinux 6, cPanel ha reso disponibile la versione 110.0.114 come aggiornamento diretto, estendendo il supporto oltre i cicli di vita standard. La scelta evidenzia la consapevolezza del vendor che la base installata legacy rimane significativa e che lasciare anche una quota minoritaria di istanze non patchate equivale a mantenere aperte porte laterali su larga scala.

Cosa fare adesso

  • Applicare immediatamente gli aggiornamenti di maggio 2026 per cPanel e WHM, verificando di raggiungere le versioni corrette indicate nell’advisory ufficiale, anche su sistemi CentOS 6 o CloudLinux 6 tramite la release 110.0.114.
  • Eseguire lo script IOC rilasciato da cPanel, ioc_checksessions_files.sh, per rilevare sessioni compromesse legate a CVE-2026-41940 e identificare eventuali accessi non autorizzati avvenuti prima del patching.
  • Rivendicare e controllare i log di accesso alle porte 2083 e 2087 nel periodo precedente al 29 aprile 2026, considerando che testimonianze non ufficiali segnalano exploitation attiva già da almeno 30 giorni prima di quella data.
  • Isolare i server compromessi o sospetti, resettare tutte le credenziali amministrative e verificare l’integrità dei file di sistema, dei symlink e degli account utente per escludere backdoor, web shell o modifiche ai permessi introdotte tramite CVE-2026-29203.

La vicenda cPanel del maggio 2026 non è solo una sequenza di patch urgenti, ma un test sulla resilienza del modello hosting condiviso. Quando il pannello di controllo diviene lui stesso il punto di rottura, la sicurezza di milioni di siti si riduce alla capacità di un singolo vendor di chiudere una riga di codice. Per gli operatori del settore, la lezione è netta: la segmentazione amministrativa e la ridondanza dei sistemi di controllo non sono più opzioni architettoniche, ma prerequisiti per continuare a offrire hosting su infrastrutture che gestiscono oltre 70 milioni di domini.

Domande frequenti

Le tre nuove vulnerabilità patchate a maggio sono collegate allo zero-day CVE-2026-41940?

Non è confermato se CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203 siano state scoperte durante l’indagine sullo zero-day di aprile o rappresentino problemi indipendenti. cPanel non ha esplicitato un collegamento causale nell’advisory del 9 maggio 2026.

Perché la compromissione di WHM è più pericolosa di un attacco a un singolo sito web?

WHM concede accesso root al server fisico o virtuale. Un attaccante che ne entri in possesso può leggere, modificare o cancellare tutti gli account hosting ospitati, accedere ai database multi-tenant, installare backdoor permanenti e muoversi lateralmente verso le reti dei clienti.

Gli amministratori su CentOS 6 o CloudLinux 6 possono ancora proteggere i propri server?

Sì. cPanel ha rilasciato la versione 110.0.114 come aggiornamento diretto per queste piattaforme legacy, permettendo di applicare le correzioni anche al di fuori dei cicli di supporto standard.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews