## cPanel-Authentifizierungs-Bypass bei gezielten Angriffen ausgenutzt Forscher von **Ctrl-Alt-Intel** entdeckten am 2. Mai 2026 eine Kampagne, die **CVE-2026-41940** missbraucht, eine kritische Authentifizierungs-Bypass-Schwachstelle in **cPanel** und WebHost Manager (WHM). Diese Schwachstelle ermöglicht es entfernten Angreifern, die Kontrolle über das Control Panel zu erhöhen.  Die Angriffe stammen von der IP-Adresse `95.111.250[.]175` und zielen hauptsächlich auf Regierungs- und Militärdomänen, die mit den Philippinen (`*.mil.ph` und `*.ph`) und Laos (`*.gov.la`) verbunden sind, sowie auf MSPs und Hosting-Provider. Die Bedrohungsakteure nutzen öffentlich verfügbare Proof-of-Concepts (PoCs) von GitHub, um die Schwachstelle auszunutzen. ## Indonesisches Verteidigungsportal mit benutzerdefinierter Exploit-Kette ins Visier genommen Vor den **cPanel**-Angriffen setzte der Bedrohungsakteur eine separate benutzerdefinierte Exploit-Kette ein, die auf ein Trainingsportal des indonesischen Verteidigungssektors abzielte. Dies beinhaltete eine Kombination aus authentifizierter SQL-Injection und Remote Code Execution, was darauf hindeutet, dass der Angreifer bereits über gültige Anmeldeinformationen verfügte. "Das Skript verwendet hartkodierte Anmeldeinformationen und umgeht das CAPTCHA des Portals, indem es den erwarteten CAPTCHA-Wert aus dem vom Server ausgestellten Session-Cookie ausliest, anstatt die Herausforderung normal zu lösen", so **Ctrl-Alt-Intel**. "Nach der Authentifizierung und dem Bestehen des CAPTCHAs greift der Akteur auf eine Dokumentenverwaltungsfunktion zu. Der anfällige Parameter ist das Feld, das zum Speichern eines Dokumentnamens verwendet wird, und das Skript injiziert SQL in dieses Feld, wenn es an den Dokumentenspeicher-Endpunkt gesendet wird."  ## AdaptixC2 Framework und persistenter Zugriff Die Analyse zeigt, dass der Bedrohungsakteur das **AdaptixC2** Command-and-Control (C2)-Framework nutzt, um kompromittierte Endpunkte ferngesteuert zu kontrollieren. Tools wie OpenVPN und Ligolo werden ebenfalls eingesetzt, um einen persistenten Zugriff auf interne Opfernetzwerke zu ermöglichen. "Der Akteur baute eine dauerhafte Zugriffsschicht mit OpenVPN, Ligolo und Systemd-Persistenz auf und nutzte diesen Zugriff dann, um in ein internes Netzwerk zu gelangen und eine beträchtliche Menge an Dokumenten aus dem chinesischen Eisenbahnsektor zu exfiltrieren", fügte **Ctrl-Alt-Intel** hinzu. ## Weitreichende Ausnutzung und Abhilfemaßnahmen Die Identität des Bedrohungsakteurs bleibt unbekannt. **Censys** berichtete jedoch von Beweisen, dass mehrere Dritte die **cPanel**-Schwachstelle innerhalb von 24 Stunden nach ihrer öffentlichen Offenlegung missbrauchten, einschließlich des Einsatzes von **Mirai** Botnet-Varianten und einem Ransomware-Stamm namens Sorry. Laut der Shadowserver Foundation waren am 30. April 2026 etwa 44.000 IP-Adressen, die über **CVE-2026-41940** kompromittiert wurden, an Scan- und Brute-Force-Angriffen beteiligt. Diese Zahl ist seitdem auf 3.540 am 3. Mai 2026 gesunken. **cPanel** hat ein aktualisiertes Erkennungsskript veröffentlicht, um Fehlalarme zu reduzieren. Benutzern wird dringend empfohlen, die verfügbaren Patches sofort anzuwenden und die empfohlenen Verfahren zur Bereinigung betroffener Umgebungen zu befolgen, wenn Indicators of Compromise (IoCs) identifiziert werden.