Масивна атака срещу cPanel: хостинг гиганти затвориха достъпа, за да спрат пробива
В края на април 2026 г. беше разкрита критична уязвимост в cPanel и WHM, оценена със сериозност 9.8, която позволява на неоторизиран нападател да заобиколи механизма за вход и да получи достъп до контролния панел без валидни данни за автентикация. Според публикуваните технически анализи проблемът е свързан с CRLF инжекция и неправилно обработване на сесиите в процеса на логване, което прави експлоита достатъчно опасен, за да даде контрол върху конфигурации, бази данни, сайтове и по-широката хостинг среда.
Още по-тревожно е, че експлоатация е била засечена в дивата среда преди официалния фикс, като KnownHost е посочил опити още от 23 февруари 2026 г.. Това означава, че уязвимостта не е просто теоретичен риск, а реален проблем, който е бил използван преди публичното разкриване и преди разпространението на коригиращата версия.
Как реагираха хостинг компаниите
След публичното оповестяване големи доставчици са приложили извънредни мрежови блокировки към портовете на cPanel и WHM, за да ограничат риска, докато patch-ът стане наличен и бъде внедрен. Сред компаниите, които са действали с подобни спешни мерки, са Namecheap, KnownHost, HostPapa, InMotion Hosting и hosting.com.
Блокираните портове са включвали стандартните точки за достъп до услугите на cPanel и WHM, като 2083/2087, а на места и 2095/2096 и 2077/2078, свързани с webmail и WebDisk. Важен детайл е, че по информация от доставчиците уебсайтовете, приложенията, базите данни и имейлът са продължили да работят, а е била ограничена единствено административната част на панела.
Колко широко е засегнато
По данни на Rapid7 около 1.5 милиона cPanel инсталации са били открити онлайн, но няма публична оценка колко от тях са били уязвими към CVE-2026-41940. Това не означава автоматично, че всички тези сървъри са били компрометирани, но показва защо инцидентът се приема като мащабен и индустриален проблем.
Твърдението, че са ударени над 4 милиона сървъра, все още не е потвърдено в откритите източници; наличните данни потвърждават огромен обхват на експозиция, но още няма конкретна бройка.
Ситуация в България
Също така ив България има засегнати инфраструктури, като техническите екипи работят по обновяване и възстановяване.
Официалните препоръки
cPanel е публикувал поправени версии за засегнатите релийзи и препоръчва администраторите да обновят веднага, а при нужда да рестартират услугата cpsrvd след инсталацията. Ако незабавно обновяване не е възможно, препоръката е да се ограничи външният достъп до административните портове или временно да се спрат съответните вътрешни услуги.
Освен това е наличен и detection script за проверка на компрометирани системи, като при следи от пробив се препоръчва ротация на пароли, изчистване на сесии, одит на логове и проверка за persistence механизми. Това е стандартният набор от действия при подобен инцидент, защото компрометиран панел може да даде на атакуващия почти пълен контрол върху хостваните ресурси. Експертите предупреждават, че всеки сървър с cPanel/WHM трябва незабавно да бъде проверен, обновен и одитиран за следи от компрометиране.
