cPanel/CVE-2026-41940: oltre 2000 IP in attacco attivo
Mr_Rot13 sfrutta la CVE-2026-41940 su cPanel per backdoor e furto credenziali. Oltre 2.000 IP confermano la campagna attiva e il rischio hosting.
Contenuto
Il 12 maggio 2026 QiAnXin XLab ha pubblicato i dettagli di una campagna attiva che sfrutta il bypass CVE-2026-41940 in cPanel/WHM per distribuire backdoor e rubare credenziali. Il gruppo Mr_Rot13, attivo con tasso di rilevamento prossimo allo zero dal 2020, ha coinvolto oltre 2.000 IP attaccanti in un'operazione automatizzata che espone provider di hosting e server privati. La vulnerabilità, con punteggio CVSS vicino a 9.3 e inserita nel catalogo CISA KEV con due date al 3 maggio 2026, consente accesso amministrativo senza credenziali.
- La CVE-2026-41940 è un bypass di autenticazione (CWE-306) nel login flow di cPanel/WHM che permette accesso remoto non autorizzato con privilegi amministrativi.
- La post-exploitation installa chiavi SSH persistenti, una webshell PHP, un credential harvester JavaScript nella pagina di login e la backdoor cross-platform Filemanager.
- I dati rubati vengono esfiltrati verso un gruppo Telegram controllato dall'attore e verso il server C2 wrned.com, dominio attivo dall'ottobre 2020.
- Secondo i dati di monitoraggio XLab, oltre 2.000 IP attaccanti distribuiti tra Germania, Stati Uniti, Brasile e Paesi Bassi stanno sfruttando automaticamente la falla.
Il bypass nel login flow: come funziona CVE-2026-41940
Il National Vulnerability Database conferma che la CVE-2026-41940 riguarda un'autenticazione bypass vulnerability nel login flow di cPanel/WHM, classificata con l'identificatore CWE-306. L'NVD descrive esplicitamente la capacità di un attaccante remoto non autenticato di ottenere accesso non autorizzato. Il punteggio CVSS attribuito dalla CNA VulnCheck, con base score 3.1, è vicino a 9.3 su 10.
L'inserimento nel catalogo Known Exploited Vulnerabilities della CISA è avvenuto il 30 aprile 2026, con una due date fissata al 3 maggio 2026 per le agenzie federali statunitensi. Termine ora scaduto, che rende la mitigazione obbligatoria per il settore pubblico americano e un indicatore di severità per il resto del mondo.
Una volta ottenuto l'accesso, l'attaccante opera con i privilegi dell'amministratore. Nei contesti di hosting condiviso, un singolo server compromesso può esporre centinaia di siti web alla propagazione a catena, poiché l'accesso amministrativo consente di raggiungere i virtual host gestiti dalla stessa istanza cPanel.
La catena d'attacco: da Go infector alla backdoor Filemanager
Una volta superato il login, la campagna dispiega un infector scritto in Go, progetto internamente denominato Payload. Il componente si connette a domini controllati dall'attore, tra cui cp.dene.de.com, scarica il payload principale e configura una chiave SSH persistente. Questa tecnica garantisce la persistenza anche dopo il riavvio del servizio web o la rotazione delle password amministrative.
Successivamente viene caricata una webshell PHP che offre un terminale remoto eseguito nel contesto del server web, bypassando i controlli di autenticazione per lanciare comandi arbitrari. In parallelo, un frammento di codice JavaScript viene iniettato nella pagina di login di cPanel per catturare le credenziali inserite dagli amministratori legittimi in sessioni successive.
L'ultimo stadio della catena è l'installazione della backdoor cross-platform Filemanager, scaricata da wpsock.com, che amplifica il controllo sul sistema compromesso garantendo accesso grafico al file system e funzionalità di gestione remota su piattaforme diverse. I dati sottratti, che includono cronologia bash, password di database, alias virtuali e credenziali di accesso, vengono inviati verso un gruppo Telegram gestito dall'attore e verso il server di comando e controllo wrned.com.
Il dominio wrned.com risulta registrato nell'ottobre 2020, confermando una continuità infrastrutturale di oltre sei anni. I ricercatori hanno inoltre osservato che il codice Go contiene un grande numero di messaggi di log in lingua turca. Secondo il report XLab, citato da Security Affairs:
"On May 4, while sorting through the malicious payloads delivered via the CVE-2026-41940 vulnerability, we discovered a new and distinctive infector. This infector is written in Go, with a project named Payload, and it embeds a large amount of Turkish-language log messages, which appear to be AI-generated." — QiAnXin XLab report, via Security Affairs
Questa valutazione non è però stata verificata indipendentemente, pertanto resta un'ipotesi da confermare.
Mr_Rot13: un'operazione stealth attiva dal 2020
Il threat actor Mr_Rot13 è stato attribuito ai ricercatori di QiAnXin XLab come responsabile della campagna. Il gruppo opera con un tasso di rilevamento estremamente basso per tutto l'arco temporale compreso tra il 2020 e il 2026. La prova più solida di questa longevità è il dominio wrned.com, attivo dall'ottobre 2020.
L'attribuzione si fonda anche su correlazioni tecniche tra gli strumenti osservati e l'infrastruttura storica del gruppo. Un campione di backdoor denominato helper.php, caricato su VirusTotal nell'aprile 2022, ha registrato un tasso di rilevamento prossimo allo zero, rafforzando l'ipotesi di un'evasione prolungata.
"Monitoring data shows that more than 2,000 attacker source IPs worldwide are currently involved in automated attacks and cybercrime activities targeting this vulnerability" — QiAnXin XLab researchers, via The Hacker News
I ricercatori hanno anche rilevato che "Over the six years from 2020 to the present, the detection rate of Mr_Rot13's related samples and infrastructure across security products has remained extremely low", confermando che la stealth non è un'eccezione ma una costante operativa.
Tuttavia, non è chiaro se Mr_Rot13 sia l'unico attore a sfruttare la CVE-2026-41940. Le fonti segnalano la possibilità di campagne indipendenti con obiettivi diversi, inclusi cryptomining e botnet, che potrebbero coesistere senza essere ancora attribuite con precisione.
Cosa fare adesso
Per gli amministratori di sistema e i provider di hosting, l'emergenza richiede azioni immediate e verificabili.
- Verificare la patch di cPanel/WHM: controllare che l'istanza sia aggiornata oltre la versione vulnerabile. La presenza della CVE nel catalogo CISA KEV con due date al 3 maggio 2026 impone la massima priorità, specie per chi gestisce infrastrutture critiche.
- Ispezionare le chiavi SSH autorizzate: analizzare il file
authorized_keysdegli utenti amministrativi e rimuovere chiavi non riconducibili a device o operatori interni noti, dato che l'infector Go installa persistenze di questo tipo. - Cercare webshell e file sospetti: effettuare scan nelle directory web servite da cPanel alla ricerca di file PHP anomali e di codice JavaScript iniettato nei template della pagina di login, che indicano la presenza del credential harvester.
- Monitorare il traffico verso wrned.com e Telegram: configurare i firewall e i sistemi IDS per rilevare connessioni in uscita verso il dominio C2 noto e verso endpoint Telegram non autorizzati, bloccando l'esfiltrazione attiva.
L'emergenza CVE-2026-41940 non riguarda solo una falla nel software di gestione hosting: mette in luce come un gruppo con infrastruttura immutata dal 2020 possa rimanere efficace semplicemente spostando il target da un CMS a un pannello di amministrazione server. La persistenza SSH, il furto di credenziali e l'esfiltrazione su Telegram costituiscono una minaccia concreta per chiunque gestisca più siti su un'unica istanza. Per gli amministratori, il problema non è solo se patchare, ma se la compromissione sia già avvenuta silenziosamente mesi fa.
Domande frequenti
È possibile che altri gruppi stiano sfruttando la stessa vulnerabilità?
Sì. Le fonti non escludono che campagne indipendenti, con finalità quali cryptomining o botnet, coesistano allo stesso sfruttamento della CVE-2026-41940. Non è stato possibile attribuire con certezza tutta l'attività malevola rilevata a Mr_Rot13.
Come si distingue la backdoor Filemanager da un tool legittimo?
La distinzione tecnica si basa sull'infrastruttura di riferimento: la backdoor contatta il dominio wrned.com e si installa tramite la catena dell'infector Go. La presenza di questi indicatori, insieme alla webshell PHP e al codice JavaScript nella login page, configura un profilo di compromissione riconoscibile.
Perché il codice Go contiene messaggi in turco?
I ricercatori di XLab hanno osservato log in turco all'interno del progetto Payload e hanno ipotizzato che siano generati da un'intelligenza artificiale. Questa valutazione non è però verificata indipendentemente, quindi resta un'ipotesi da confermare.
Fonti
- https://thehackernews.com/2026/05/cpanel-cve-2026-41940-under-active.html
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://securityaffairs.com/192013/cyber-crime/attackers-exploit-cpanel-cve-2026-41940-to-deploy-filemanager-backdoor.html
- https://www.helpnetsecurity.com/2026/05/12/cpanel-vulnerability-exploited-backdoor-cve-2026-41940/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/05/cpanel-cve-2026-41940-under-active.html
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://securityaffairs.com/192013/cyber-crime/attackers-exploit-cpanel-cve-2026-41940-to-deploy-filemanager-backdoor.html
- https://www.helpnetsecurity.com/2026/05/12/cpanel-vulnerability-exploited-backdoor-cve-2026-41940/