Первые жертвы критической уязвимости cPanel: миллионы сайтов под угрозой

Кибер-агентство США (CISA) внесло критическую уязвимость cPanel в список известных эксплуатируемых угроз, подтверждая, что злоумышленники уже активно используют брешь в одном из самых распространённых комплексов для управления хостингом в интернете.

Уязвимость, отслеживаемая как CVE-2026-41940, имеет почти максимальный балл CVSS 9.8 (показатель критичности уязвимостей) и затрагивает все поддерживаемые версии cPanel и WebHost Manager (WHM), выпущенные после версии 11.40, а также WP Squared – слой управления WordPress, построенный на той же платформе. Успешная эксплуатация этой уязвимости может привести к полному контролю над сервером.

Активная эксплуатация и реакция провайдеров

CISA включила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей в четверг, подтверждая, что злоумышленники не теряют времени. К моменту выпуска патча cPanel во вторник, атаки уже начались.

Хостинг-провайдер KnownHost предоставил более подробную информацию о ситуации, предупредив клиентов о попытках успешной эксплуатации ещё до выхода исправления. В сообщении на Reddit генеральный директор компании Дэниел Пирсон сообщил, что провайдер зафиксировал попытки исполнения кода уже 23 февраля 2026 года и призвал пользователей ограничить доступ, а также исходить из того, что системы могли быть скомпрометированы, если они остались без обновлений.

Другой хостинг-провайдер, Namecheap, временно заблокировал доступ к cPanel и WHM, фактически прекратив работу до готовности исправлений. Впоследствии компания начала развертывание обновлений.

Первые случаи заражения вымогательским ПО

Есть также первые признаки того, что делают злоумышленники после получения доступа. Владелец малого бизнеса, оставивший сообщение на Reddit, сообщил, что его компания пострадала от вымогательского ПО (вируса-шифровальщика) после использования стандартной конфигурации cPanel. По его словам, хостинг-провайдер столкнулся с трудностями при устранении последствий инцидента. Злоумышленники потребовали 7000 долларов США за разблокировку систем.

• Уязвимость cPanel, вероятно, эксплуатировалась как уязвимость «нулевого дня»
• Как разместить локальный сайт для разработки на Linux в Windows
• Злоумышленники украли учетные данные AWS с неправильно настроенных сайтов и хранили их в открытом хранилище S3
• GoDaddy обнаружила, что находится под атакой уже три года

Хотя это заявление носит единичный характер, в случае подтверждения оно указывает на то, что данная уязвимость уже активно используется злоумышленниками для блокировки систем, а не только для скрытого наблюдения или кражи данных.

Масштабы угрозы

Пока неизвестно, сколько организаций пострадали от уязвимости, но фирма по кибербезопасности Rapid7 с помощью Shodan выявила около 1,5 миллиона доступных из интернета экземпляров cPanel.

cPanel лежит в основе хостинга для десятков миллионов сайтов, многие из которых принадлежат небольшим компаниям, полагающимся на своих провайдеров в вопросах безопасности. Для них призыв «установить патч немедленно» часто означает «ждать и надеяться», что крайне рискованно, когда уязвимость почти максимальной степени серьезности уже активно используется.