如果你在公司負責維運伺服器,或者正在學習如何管理 Web Hosting 環境,你可能聽過 cPanel。它是一個非常流行的控制面板,讓管理員不需要透過複雜的命令列就能管理網站、電子郵件和資料庫。但最近發生的一個嚴重漏洞 CVE-2026-41940,給所有使用者敲響了警鐘。這不是單純的漏洞發現,而是已經被駭客大規模武器化,針對政府機關與託管服務商(MSP)進行攻擊。
什麼是認證繞過漏洞
這次的核心問題在於 Authentication Bypass,也就是認證繞過。在正常情況下,當你嘗試進入管理後台時,系統會要求你輸入正確的帳號密碼來驗證身分。但認證繞過漏洞讓攻擊者可以跳過這個檢查步驟,直接以高權限身分進入系統。
對於 cPanel 這種控制面板來說,一旦攻擊者繞過認證,就等同於拿到了伺服器的最高管理權限。他們可以隨意修改網站內容、竊取客戶資料,甚至將伺服器變成跳板,進一步攻擊內網的其他設備。
攻擊者的實作路徑與工具
這場攻擊並非隨機發生,而是一場有組織的行動。攻擊者首先利用公開的 PoC(Proof of Concept,概念驗證程式碼)來快速掃描並入侵未更新的 cPanel 伺服器。
進入系統後,他們採取了典型的後滲透步驟來確保能長期控制目標。首先是建立持久化訪問,他們使用了 OpenVPN 和 Ligolo 這類工具。OpenVPN 是建立加密隧道,讓駭客可以像在內網一樣操作;Ligolo 則是一種網路隧道工具,能讓攻擊者在受害者的內部網路中進行橫向移動(Lateral Movement),也就是從一台被攻破的伺服器跳轉到另一台內部伺服器。
此外,他們還部署了 AdaptixC2,這是一個命令與控制框架(Command and Control Framework)。C2 框架就像是駭客的遠端指揮中心,讓他們能發送指令給受感染的機器,並將竊取的資料傳回自己的伺服器。
除了 cPanel 漏洞,這次攻擊還揭露了另一種危險的組合拳:SQL 注入與遠端程式碼執行。在針對某些特定目標時,攻擊者利用已有的帳號,透過 SQL Injection(將惡意 SQL 指令注入輸入欄位,欺騙資料庫執行非預期操作)來突破系統,最終達成 RCE(Remote Code Execution,遠端程式碼執行),直接在伺服器上執行任意指令。
為什麼這次事件如此嚴重
首先是速度。漏洞公開後 24 小時內,就有多個第三方組織開始利用它。其中甚至包含了 Mirai 殭屍網路的變種以及 Sorry 勒索軟體。這意味著一旦你沒在第一時間更新,你的伺服器可能在幾小時內就被掃描並感染。
其次是規模。根據 Shadowserver Foundation 的監控,有超過 4 萬個 IP 地址被懷疑透過此漏洞受害,並被用來對其他目標發起暴力破解攻擊。這形成了一種連鎖反應:受害的伺服器變成了攻擊別人的工具。
給工程師的防禦建議
面對這種等級的威脅,最簡單也最有效的對策就是立即更新補丁(Patch)。cPanel 官方已經釋出了修復版本,請務必確認所有管理面板都已升級到最新狀態。
除了更新,你還需要檢查環境中是否存在入侵指標(IoCs)。如果你發現伺服器出現不明的 OpenVPN 进程、異常的網路連線,或者在系統日誌中發現未經授權的權限提升紀錄,請立刻採取隔離措施並進行全面掃描。
最後,請記得遵循最小權限原則。盡量不要將管理後台直接暴露在公網,可以使用 VPN 或 IP 白名單來限制訪問路徑,這樣即使漏洞存在,攻擊者也無法輕易觸及你的登入介面。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。