對於管理大量虛擬主機的工程師來說,cPanel 和 WebHost Manager (WHM) 是非常核心的基礎設施管理工具。然而,近期披露的 CVE-2026-41940 漏洞正被大規模利用,攻擊者能藉此在不需要正確憑據的情況下直接控制伺服器。這類漏洞之所以危險,是因為它直接擊中了身分驗證機制,讓攻擊者能以高權限進入系統。
理解漏洞的核心:身分驗證繞過
這次漏洞被定義為 Authentication Bypass Authentication,也就是身分驗證繞過。簡單來說,身分驗證就像是進入機房的門禁系統,而繞過漏洞則像是發現了門鎖有一個設計缺陷,讓攻擊者不需要鑰匙或密碼就能直接開門進入。一旦進入 cPanel 或 WHM 的管理介面,攻擊者就擁有了對該主機及其下所有網站的高度控制權。
攻擊鏈的詳細拆解
這場攻擊並非單一動作,而是一連串精心設計的攻擊鏈。首先,攻擊者利用 CVE-2026-41940 進入系統後,會執行一個 Shell Script,這是一種在 Linux 環境下自動化執行指令的腳本。該腳本會使用 wget 或 curl 等工具,從遠端伺服器下載一個使用 Go 語言編寫的感染程式。
為了確保即使管理員修補了漏洞,他們依然能隨時回來,攻擊者會採取 Persistence(持久化)手段。他們會將自己的 SSH Public Key(SSH 公鑰)植入系統,這讓攻擊者可以透過 SSH 遠端登入而不需要密碼。同時,他們會部署一個 PHP Web Shell,這是一個隱藏在網頁後端的管理介面,讓攻擊者能隨意上傳、下載檔案或執行系統指令。
進階的憑據竊取與後門部署
攻擊者並未就此停止,他們還在網站中注入 JavaScript 程式碼,將原本的登入頁面替換成偽造的頁面。當正常使用者嘗試登入時,帳號密碼會被傳送到攻擊者的伺服器,且傳輸過程使用了 ROT13 這種簡單的位移加密法來嘗試規避基本的安全偵測。
最終,攻擊者會部署一個名為 Filemanager 的跨平台後門程式。這個後門不僅支援 Windows、macOS 和 Linux,還能大量搜集敏感資訊,包括 Bash History(指令歷史紀錄)、SSH 資料、資料庫密碼以及 cPanel 的虛擬別名。這些機密資料最後會透過 Telegram Bot 傳送給攻擊者。
為什麼這次攻擊值得關注
這次攻擊由一名代號為 Mr_Rot13 的威脅參與者主導。根據安全研究機構 QiAnXin XLab 的分析,該攻擊者的基礎設施早在 2020 年就已建立,但其樣本在過去六年的偵測率極低,顯示出極強的隱匿能力。
目前全球已有超過 2,000 個攻擊來源 IP 參與自動化掃描,目標涵蓋德國、美國、巴西與荷蘭等地區。受害後可能的後果包括伺服器被轉化為加密貨幣挖礦機、被植入勒索軟體或成為殭屍網路的一部分。
實務建議與防禦
面對此類漏洞,最直接且有效的解決方案是立即更新 cPanel 與 WHM 至最新安全版本。對於工程師而言,除了更新補丁,建議採取以下防禦措施:檢查伺服器上的 SSH authorized_keys 檔案,確認是否有不明的公鑰被植入;監控異常的外部連線,特別是往非預期網域的流量;以及定期審查 Web 目錄中是否出現異常的 PHP 檔案。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。