CVE-2026-41940: bypass cPanel sotto attacco globale attivo

CVE-2026-41940 in cPanel attivamente sfruttato: oltre 2.000 IP in azione, backdoor Filemanager e credenziali compromesse da attore attivo dal 2020.

Contenuto

CVE-2026-41940: bypass cPanel sotto attacco globale attivo
CVE-2026-41940: bypass cPanel sotto attacco globale attivo

Il threat actor Mr_Rot13 sta sfruttando attivamente la vulnerabilità di autenticazione bypass CVE-2026-41940 in cPanel e WHM per distribuire il backdoor cross-platform Filemanager, come hanno documentato i ricercatori di QiAnXin XLab l'11 maggio 2026. La campagna colpisce server di hosting su scala globale, con oltre 2.000 indirizzi IP coinvolti in attacchi automatizzati contro lo stesso difetto. Per amministratori e provider, la posta in gioco è immediata: chi gestisce una piattaforma di hosting deve verificare patch, credenziali e chiavi SSH entro ore, non giorni.

Punti chiave
  • CVE-2026-41940 è un bypass di autenticazione classificato come CWE-306 nel flusso di login di cPanel e WHM, con versioni vulnerabili confermate dal NVD nel range che va dalla 11.40 alla 136.0.5, e rientra nel catalogo CISA KEV dal 30 aprile 2026.
  • Il threat actor Mr_Rot13 automatizza la post-exploitation con un payload scritto in Go che modifica la password root, impianta una chiave SSH pubblica per accesso persistente e piazza una web shell PHP per proseguire la catena di infezione.
  • I dati di monitoraggio mostrano oltre 2.000 IP sorgente mondiali, con prevalenza da Germania, Stati Uniti, Brasile e Paesi Bassi, impegnati in attacchi automatizzati contro la vulnerabilità, anche se non è verificato che tutti siano riconducibili a Mr_Rot13.
  • L'infrastruttura di comando e controllo del gruppo, incluso il dominio wrned.com registrato nell'ottobre 2020, ha mantenuto un tasso di rilevamento quasi nullo sui prodotti di sicurezza per quasi sei anni.

Il bypass nel flusso di login e la compromissione del server

La CVE-2026-41940 è un difetto di autenticazione nel flusso di login di cPanel e WebHost Manager (WHM). Il National Vulnerability Database la classifica come CWE-306, ovvero mancanza di autenticazione per una funzione critica, e conferma che le versioni interessate partono dalla 11.40 fino alla 136.0.5. Non si tratta di una vulnerabilità RCE diretta, ma di un bypass che consente a un attaccante di ottenere accesso non autenticato al pannello amministrativo.

Una volta dentro, la post-exploitation è rapida e standardizzata. Lo script shell scarica un payload Go dal dominio cp.dene.[de.]com; questo eseguibile, denominato semplicemente Payload, modifica la password root del sistema compromesso in '123Qwe123C', un valore che funge da indicatore di compromissione specifico della campagna. Parallelamente, il payload impianta una chiave SSH pubblica per garantire accesso persistente anche in caso di cambio credenziali, e piazza una web shell PHP nella directory di cPanel.

Il payload Go, la persistenza SSH e i log in turco

L'eseguibile, individuato dai ricercatori di QiAnXin XLab e citato anche da SecurityAffairs, presenta una caratteristica inusuale: i messaggi di log interni sono in lingua turca e appaiono generati tramite intelligenza artificiale. Questo dettaglio non altera la pericolosità del codice, ma offre un possibile indizio sul contesto di sviluppo o sulla provenienza degli operatori. Una volta eseguito, il payload stabilisce immediatamente la persistenza installando una chiave SSH pubblica, quindi piazza la web shell PHP per proseguire la raccolta dati. La modularità della catena consente a Mr_Rot13 di adattare rapidamente il vettore iniziale senza riscrivere l'intero toolset.

Mr_Rot13, un attore fantasma con C2 attivo dal 2020

L'attore di minaccia Mr_Rot13 opera con un'infrastruttura che risale all'ottobre 2020. Il dominio wrned.com, usato per ricevere le credenziali rubate cifrate con ROT13, era già presente in un campione di backdoor PHP caricato su VirusTotal nell'aprile 2022. Questa longevità è straordinaria: per quasi sei anni i campioni e i domini associati all'attore hanno attraversato indenni i motori di sicurezza.

"Over the six years from 2020 to the present, the detection rate of Mr_Rot13's related samples and infrastructure across security products has remained extremely low" — QiAnXin XLab researchers via The Hacker News

I ricercatori non attribuiscono l'attore a uno stato-nazione, descrivendolo come operatore di cybercrimine. La sua capacità di mantenere un profilo basso, combinata con l'automazione dei payload, spiega come una singola campagna possa espandersi a migliaia di server senza allarmare i sistemi di difesa endpoint.

La scelta di ROT13 come metodo di offuscamento per le credenziali esfiltrate è coerente con l'identità dell'attore, ma non deve trarre in inganno: dietro la semplicità cifrica si nasconde un'infrastruttura ben oliata, con canali Telegram ristretti e domini registrati da anni. Questa struttura riduce la dipendenza da servizi di hosting compromessi per il C2, aumentando la resilienza della rete bot.

Credential harvesting e il backdoor cross-platform Filemanager

La web shell PHP ha un compito preciso: iniettare codice JavaScript nella pagina di login di cPanel per rubare credenziali in tempo reale. I dati raccolti vengono trasmessi al dominio wrned.com mediante cifratura ROT13, uno schema semplice ma efficace per eludere filtri superficiali. Le informazioni sensibili estratte includono bash history, dati SSH, informazioni sul dispositivo, password di database e alias virtuali di cPanel.

Tutto viene esfiltrato verso un gruppo Telegram composto da tre membri, controllato dall'utente '0xWR'. Dalla stessa infrastruttura, il dominio wpsock[.]com ospita il backdoor Filemanager, distribuito alle vittime finali. Filemanager è cross-platform, funziona su Windows, macOS e Linux, e offre all'operatore funzionalità di gestione file, esecuzione comandi remota e shell interattiva, trasformando il server compromesso in un nodo di accesso persistente.

Exploitation in-the-wild e la superficie di attacco globale

L'exploitation attiva è confermata indipendentemente dai ricercatori di watchTowr, che hanno rilasciato uno strumento per identificare le istanze vulnerabili. La Shadowserver Foundation segnala migliaia di installazioni cPanel potenzialmente esposte alla rete. Secondo i dati di QiAnXin XLab, oltre 2.000 IP sorgente partecipano a attacchi automatizzati, anche se i ricercatori non confermano che l'intero volume sia monopolizzato da Mr_Rot13: la stessa CVE attira operatori diversi, probabilmente interessati a cryptomining, ransomware o botnet.

L'ampia superficie di attacco è determinata dalla diffusione stessa di cPanel, che alimenta una quota significativa dell'hosting condiviso e dedicato mondiale. La presenza di migliaia di istanze esposte, segnalate da Shadowserver, amplifica il rischio di compromissione a catena: un singolo server violato può ospitare centinaia di siti web e database aziendali, trasformando il bypass iniziale in un incidente multi-tenant.

SecurityAffairs riporta inoltre attacchi contro istituzioni governative e militari del Sud-Est asiatico, con un volume stimato di 4,37 GB di dati sensibili rubati. Tuttavia, non è chiaro se questi incidenti siano direttamente collegabili a Mr_Rot13 o ad altri threat actor che sfruttano la medesima vulnerabilità, un limite che invita a trattare il dato con cautela investigativa.

Cosa fare adesso

  • Verificare immediatamente se l'istanza cPanel/WHM rientra nel range di versioni comprese tra 11.40 e 136.0.5 indicate dal NVD come vulnerabili, e applicare l'aggiornamento di sicurezza disponibile dal vendor senza attendere cicli di manutenzione programmati.
  • Ruotare tutte le credenziali root e amministrative, rimuovere chiavi SSH non autorizzate e controllare che nessuna password locale corrisponda all'indicatore '123Qwe123C' rilevato nella campagna Mr_Rot13.
  • Ispezionare la directory di cPanel alla ricerca di web shell PHP non previste, analizzare il codice JavaScript della pagina di login per rilevare iniezioni sospette e monitorare il traffico verso domini come wrned.com o wpsock[.]com.
  • Eseguire lo strumento rilasciato da watchTowr per l'identificazione degli host vulnerabili e revisionare i log di accesso WHM per sessioni non autenticate o anomale nei giorni precedenti.

La campagna CVE-2026-41940 conferma che anche piattaforme consolidate come cPanel possono diventare il fulcro di operazioni di accesso persistente quando un singolo bypass di autenticazione incontra un attore capace di restare invisibile per anni. Il dato più inquietante non è il volume degli attacchi, ma la latenza: un'infrastruttura attiva dal 2020 con rilevamento quasi nullo suggerisce che molte compromissioni passate potrebbero non essere mai state individuate. Per i provider di hosting, la priorità non è più solo la patch, ma una verifica storica dei sistemi.

Domande frequenti

Il backdoor Filemanager colpisce solo server Linux?

No. Secondo l'analisi di QiAnXin XLab, il backdoor Filemanager distribuito dal dominio wpsock[.]com è cross-platform e funziona su Windows, macOS e Linux, offrendo gestione file, esecuzione comandi remota e shell interattiva.

Gli oltre 2.000 IP di attacco sono tutti riconducibili a Mr_Rot13?

Non è confermato. I dati di monitoraggio citano oltre 2.000 IP mondiali coinvolti in attacchi automatizzati contro la stessa CVE, ma questa cifra potrebbe includere altri threat actor che sfruttano il bypass per scopi diversi, come cryptomining o botnet.

La web shell PHP può essere rilevata con strumenti standard?

Solo parzialmente. È necessaria un'ispezione mirata della directory di cPanel e l'analisi del codice JavaScript nella pagina di login, poiché il payload è modulare e i suoi indicatori possono variare tra le campagne.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews