CVE-2026-41940: attacco cPanel installa backdoor Filemanager

CVE-2026-41940: attacco cPanel installa backdoor Filemanager

Il gruppo Mr_Rot13 sta sfruttando attivamente la vulnerabilità di autenticazione bypass CVE-2026-41940 nei pannelli di controllo cPanel/WHM. A dieci giorni dalla due date CISA del 3 maggio, i ricercatori segnalano oltre 2.000 IP malevoli coinvolti in exploitation automatizzata a livello globale. L'attacco installa un infector Go che modifica le credenziali di accesso, inietta script malevoli nella pagina di login e dispiega il backdoor cross-platform Filemanager, esfiltrando dati verso infrastrutture esterne.

La catena d'attacco: da auth bypass a login page compromessa

La CVE-2026-41940 è classificata come "Missing Authentication for Critical Function" nel database NVD e ha ricevuto un punteggio CVSS di 9.8 dalla CNA VulnCheck, sebbene alcune fonti editoriali la riportino anche a 9.3. Il difetto consente a un attaccante di aggirare il flusso di autenticazione in cPanel/WHM e ottenere privilegi amministrativi senza credenziali valide. CISA ha inserito la vulnerabilità nel catalogo Known Exploited Vulnerabilities il 30 aprile 2026 con due date al 3 maggio. Ora scaduto il termine, i ricercatori di QiAnXin XLab rilevano una escalation sostenuta dell'attività.

I dati di monitoraggio raccolti da QiAnXin XLab, riportati da The Hacker News, indicano che oltre 2.000 IP attacker unici stanno conducendo exploitation automatizzata contro questa falla, con origini prevalentemente in Germania, Stati Uniti, Brasile e Paesi Bassi. L'accesso iniziale non autenticato rappresenta il punto di ingresso per una catena più complessa: una volta ottenuto il controllo amministrativo, gli attori caricano uno shell script remoto che avvia la compromissione profonda del server. Il vettore non si limita al solo bypass, ma funge da leva per modificare il comportamento del pannello.

"Monitoring data shows that more than 2,000 attacker source IPs worldwide are currently involved in automated attacks and cybercrime activities targeting this vulnerability" - QiAnXin XLab via The Hacker News

L'infector Go "Payload" e la persistenza multipla

Al centro della campagna c'è un infector scritto in Go il cui progetto interno è denominato "Payload". Secondo l'analisi di QiAnXin XLab citata da Security Affairs, il campione contiene un cospicuo numero di messaggi di log in lingua turca che i ricercatori ritengono apparentemente generati da strumenti di intelligenza artificiale, anche se questa ipotesi non è stata verificata indipendentemente. Una volta eseguito, il binario altera la password dell'utente root, genera una chiave SSH etichettata "cpanel-updater" per l'accesso remoto persistente e deposita una webshell PHP per mantenere un canale di comando dopo eventuali ripristini.

La componente più insidiosa è l'iniezione di codice JavaScript direttamente nel template della pagina di login di cPanel. Ogni autenticazione successiva, anche quelle legittime, viene intercettata e i dati di accesso vengono trasmessi a un server controllato dagli attaccanti, con esfiltrazione finale verso Telegram. Questo meccanismo trasforma il pannello compromesso in una piattaforma di raccolta credenziali passiva, rendendo insufficiente l'applicazione della patch se non accompagnata da una rotazione completa di tutte le password e delle chiavi SSH.

Filemanager: un backdoor cross-platform per RCE e furto dati

Parallelamente all'infector, la catena d'attacco dispiega il backdoor Filemanager, uno strumento cross-platform in grado di operare su Windows, macOS e Linux. Le analisi tecniche concordi di THN, Security Affairs e CyberPress descrivono il malware come una soluzione per la gestione remota dei file, l'esecuzione di comandi arbitrari e l'ottenimento di shell interattive. I ricercatori di CyberPress hanno inoltre pubblicato gli hash MD5 dei sample associati a questa famiglia, fornendo indicatori utili alla ricerca sui sistemi di hosting potenzialmente infetti.

Le fonti segnalano che l'operazione ha già prodotto conseguenze concrete. Security Affairs e CyberPress riferiscono del furto di circa 4,37 GB di dati sensibili da entità governative e militari del Sud-Est Asiatico. Non è tuttavia noto se tali obiettivi fossero ospitati su istanze dedicate o su infrastrutture condivise compromesse tramite provider di hosting. L'impatto rimarca come un singolo pannello cPanel violato possa fungere da ponte verso archivi istituzionali di elevato valore strategico.

L'infrastruttura C2 e i collegamenti storici di Mr_Rot13

L'attribuzione della campagna al gruppo Mr_Rot13 è sostenuta da QiAnXin XLab, citato da The Hacker News e Security Affairs. Le analisi degli indicatori di compromissione hanno evidenziato il dominio wrned.com quale elemento centrale dell'infrastruttura di comando e controllo. Questo dominio risulta registrato nell'ottobre 2020 ed era già presente in un backdoor PHP caricato su VirusTotal nell'aprile 2022, con un tasso di rilevamento all'epoca estremamente basso. Il collegamento suggerisce una continuità operativa del gruppo che precede di anni la pubblicazione della CVE-2026-41940.

Secondo quanto riportato da The Hacker News su base QiAnXin XLab, nel corso dei sei anni trascorsi dal 2020 la rilevazione dei sample e dell'infrastruttura associati a Mr_Rot13 sui prodotti di sicurezza è rimasta estremamente bassa. Questa longevità con scarsa visibilità indica una capacità di adattamento e un'opportunistica selezione degli obiettivi che hanno permesso al gruppo di rimanere al di sotto della soglia di allarme globale fino all'attuale escalation su cPanel. La storia dell'infrastruttura rafforza l'ipotesi che Mr_Rot13 non sia un attore occasionale, ma un'entità con risorse e pianificazione prolungata.

Cosa fare adesso

• Gli amministratori devono applicare immediatamente le patch rilasciate da cPanel per la CVE-2026-41940, tenendo presente che la due date CISA del 3 maggio è già scaduta da quasi due settimane.
• È necessario revocare ogni chiave SSH non autorizzata, con attenzione particolare a quelle nominate "cpanel-updater", e procedere al reset completo delle credenziali root.
• Bisogna ispezionare i template di login di cPanel/WHM per rilevare eventuali injection JavaScript e forzare la rotazione di tutte le password utente, poiché il malware intercetta anche i login legittimi.
• Si raccomanda lo scan dei filesystem alla ricerca degli hash IOC del backdoor Filemanager e il monitoraggio del traffico di rete verso il dominio wrned.com.

La posta in gioco supera la mera compromissione del singolo server. Una volta iniettato il JavaScript nella pagina di login, il pannello rimane una fonte passiva di credenziali anche dopo l'installazione della patch, a meno che non venga condotta una sanificazione completa. Per gli hosting provider e i sistemisti, il caso di Mr_Rot13 è un promemoria tecnico: la risposta a un auth bypass critico non può fermarsi all'aggiornamento del software, ma deve estendersi alla rotazione totale delle chiavi e alla verifica dell'integrità dei template di autenticazione. La difesa si sposta dal codice vulnerabile alla fiducia compromessa.

Domande frequenti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/05/cpanel-cve-2026-41940-under-active.html
• https://nvd.nist.gov/vuln/detail/CVE-2026-41940
• https://securityaffairs.com/192013/cyber-crime/attackers-exploit-cpanel-cve-2026-41940-to-deploy-filemanager-backdoor.html
• https://thomasharris6.wordpress.com/2026/05/11/cpanel-cve-2026-41940-under-active-exploitation-to-deploy-filemanager-backdoor/
• https://cyberpress.org/hackers-exploit-cve-2026-41940/