Hackerii exploatează în continuare vulnerabilitatea cPanel pentru a prelua controlul asupra a mii de site-uri web

La aproape o săptămână după ce producătorii popularului software de administrare a serverelor web cPanel și WebHost Manager (WHM) și-au avertizat utilizatorii cu privire la o vulnerabilitate critică, hackerii continuă să vizeze mii de site-uri care folosesc aceste platforme.

De luni, peste 550.000 de servere potențial vulnerabile rulează cPanel, o cifră care a rămas stabilă de câteva zile. În prezent există aproximativ 2.000 de instanțe cPanel probabil deja compromise, în scădere semnificativă față de circa 44.000 raportate joi. Aceste statistici sunt publicate de Shadowserver, o organizație nonprofit care scanează și monitorizează internetul pentru atacuri cibernetice.

Joi, cercetători în domeniul securității au avertizat că hackerii au început să compromită servere care rulează cPanel și WHM. Ei profită de un bug ce le permite să preia complet controlul asupra serverelor vulnerabile și să le deturneze prin intermediul panourilor de administrare.

Potrivit relatărilor din domeniul securității informatice, amploarea pagubelor se vede în faptul că Google a indexat zeci de site-uri care, la un moment dat, afișau un mesaj din partea unui grup de hackeri ce susținea că a criptat fișierele victimelor, într-un aparent atac de tip ransomware. Unele dintre aceste site-uri se încarcă acum în mod normal.

Nota de răscumpărare includea un ID de chat prin care victimele puteau contacta hackerii, însă aceștia nu au răspuns imediat solicitărilor de comentarii venite din partea presei.

Agenția SUA pentru Securitate Cibernetică și Infrastructură (CISA) a avertizat joi că vulnerabilitatea — urmărită sub codul CVE-2026-41940 — este exploatată activ și a adăugat-o în catalogul său de Vulnerabilități Cunoscute ca Exploatate (KEV). CISA a cerut agențiilor guvernamentale să aplice patch-urile până duminică. Instituția nu a răspuns deocamdată la întrebările legate de faptul dacă poate confirma că aceste agenții și-au actualizat serverele la timp.

Atacurile împotriva serverelor web care rulează cPanel și WHM, cel mai probabil, au început cu mult înainte de anunțarea oficială a vulnerabilității. Conform directorului KnownHost, Daniel Pearson, compania sa a detectat tentative de intruziune încă din 23 februarie.

Reprezentanții Webpros, compania care dezvoltă cPanel și WHM și care susține că soluțiile sale deservesc 60 de milioane de domenii, nu au oferit niciun comentariu până la acest moment.