Хакеры веселятся с багом cPanel, потому что, конечно же

Исследователи безопасности бьют тревогу — и не веселую, вечериночную — из-за свежеобнаруженной уязвимости в cPanel и WebHost Manager (WHM), программном обеспечении для управления веб-серверами, которое питает примерно gazillion сайтов (ладно, десятки миллионов). Баг, официально отслеживаемый как CVE-2026-41940, позволяет хакерам пройти мимо экрана входа и захватить полный контроль над затронутыми серверами, как цифровая версия оставленной незапертой входной двери с неоновой вывеской "бесплатные вещи".

cPanel и WHM — невоспетые герои веб-хостинга, управляющие всем: от конфигураций сайтов до электронной почты и обслуживания баз данных — в общем, цифровая сантехника, не дающая интернет-доменам затопиться. Поскольку эти пакеты имеют глубокий, неограниченный доступ к управляемым серверам, успешный взлом означает, что атакующие могут рыться во всех данных, как любопытный сосед на гаражной распродаже.

Многие коммерческие хостинг-компании уже пропатчили системы своих клиентов, но создатель cPanel призывает всех перепроверить, потому что баг затрагивает все поддерживаемые версии. Да, все. Национальное агентство кибербезопасности Канады выступило с предупреждением, что эксплуатация "весьма вероятна", что на правительственном языке означает "хватит листать, патчи это сейчас".

Гигант веб-хостинга Namecheap, использующий cPanel для своих клиентов, заблокировал доступ к панелям cPanel, узнав об ошибке — как вышибала, закрывающий VIP-зал до того, как вечеринка разгромится. Hostgator также пропатчил свои системы, назвав баг "критическим эксплойтом обхода аутентификации", что звучит устрашающе и является таковым.

Одна хостинг-компания, KnownHost, нашла доказательства того, что хакеры злоупотребляли уязвимостью с 23 февраля — это месяцы незваных гостей, таящихся в цифровых тенях. Генеральный директор Дэниел Пирсон вышел на Reddit, чтобы сообщить, что около 30 серверов KnownHost показали признаки попыток несанкционированного доступа, хотя активных взломов не подтверждено. Он сравнил усилия с попытками, что успокаивает так же, как полуоткрытое окно.

cPanel также выпустил исправление безопасности для WP Squared, аналогичного инструмента для управления сайтами WordPress, потому что, видимо, тема этой недели — "пропатчить всё". Если вы используете cPanel, возможно, проверьте у своего хостинг-провайдера — или просто предположите, что они всё сделали, и надейтесь на лучшее.