Популярная панель управления хостингом забыла спросить пароль входа
Проблема в популярной панели управления хостингом за сутки превратилась в настоящую волну атак. После публикации критической уязвимости в cPanel и WHM тысячи серверов начали вести себя подозрительно, а часть систем уже оказалась заражена.
Уязвимость CVE-2026-41940 раскрыли 29 апреля. Ошибка затрагивает процесс входа и позволяет злоумышленнику без авторизации обойти защиту и получить повышенные права на сервере. Уже через сутки злоумышленники начали активно эксплуатировать дыру, действуя сразу по нескольким сценариям.
Анализ выявил резкий скачок активности 1 мая. Количество узлов, которые системы мониторинга пометили как вредоносные, выросло почти вдвое. При этом около 80% новых подозрительных серверов работали именно на cPanel или WHM. До этого доля таких систем оставалась почти незаметной на фоне общего интернет-шума.
Разбор трафика вывел на знакомый след. Большая часть активности связана с перебором паролей по протоколу Telnet, что характерно для ботнета Mirai. В метках прямо фигурирует название Mirai, а атаки сосредоточены в инфраструктуре облачных провайдеров и виртуальных серверов.
Параллельно всплыла информация о вредоносной программе nuclear.x86, которую якобы распространяют через уязвимость. Проверка образца показала, что сам код не содержит механизма взлома cPanel. Значит, злоумышленники сначала получают доступ к серверу через уязвимость, а уже затем загружают вредоносное ПО.
На этом история не заканчивается. На части серверов обнаружили признаки другой атаки. Около 7 тысяч систем начали отдавать открытые каталоги, где все файлы получили расширение «.sorry». Накануне таких каталогов не было. Подобное массовое переименование обычно происходит после шифрования данных.
Внутри каталогов лежит записка с требованием связаться через программу qTox и передать зашифрованный файл для проверки. Расширение «.sorry» уже встречалось ранее в вариантах вымогателя на базе Hidden-Tear, так что сценарий выглядит знакомо. Всего в сети нашли почти 9 тысяч серверов с такими файлами, и более 7 тысяч из них используют cPanel или WHM. Среди переименованных файлов часто встречаются стандартные компоненты сайтов, включая index.php и файлы WordPress.
На текущий момент видно как минимум две отдельные кампании. Первая разворачивает варианты Mirai и использует серверы для дальнейших атак. Вторая шифрует данные и требует выкуп. Судя по скорости распространения, автоматизированные атаки уже поставлены на поток, а число пострадавших серверов продолжает расти.