**cPanel**- und WebHost Manager (WHM)-Benutzer werden dringend aufgefordert, die notwendigen Patches anzuwenden, nachdem Berichte über die aktive Ausnutzung von **CVE-2026-41940** vorliegen. Diese kritische Schwachstelle ermöglicht es Angreifern, die Authentifizierung zu umgehen und administrative Berechtigungen zu erlangen. ### Ausnutzung in freier Wildbahn Laut einem Bericht von **QiAnXin XLab** wird die Schwachstelle seit ihrer öffentlichen Offenlegung aktiv ausgenutzt. Beobachtete bösartige Aktivitäten umfassen Kryptowährungs-Mining, die Bereitstellung von Ransomware, die Verbreitung von Botnetzen und die Einschleusung von Backdoors. "Überwachungsdaten zeigen, dass derzeit mehr als 2.000 Angreifer-IP-Adressen weltweit an automatisierten Angriffen und Cybercrime-Aktivitäten beteiligt sind, die diese Schwachstelle ins Visier nehmen", erklärten XLab-Forscher. Diese IPs sind geografisch verteilt, mit einer signifikanten Konzentration in Deutschland, den Vereinigten Staaten, Brasilien und den Niederlanden. ### Technische Analyse der Angriffskette Weitere Analysen zeigen ein Shell-Skript, das `wget` oder `curl` verwendet, um einen Go-basierten Infektor von einem entfernten Server (`cp.dene.[de[.]com]`) herunterzuladen. Dieser Infektor ist darauf ausgelegt, **cPanel**-Systeme zu kompromittieren, indem ein öffentlicher SSH-Schlüssel für persistenten Zugriff installiert und eine PHP-Web-Shell für die Dateiverwaltung und die Ausführung von Remote-Befehlen bereitgestellt wird. Die Web-Shell injiziert JavaScript-Code, um eine benutzerdefinierte Anmeldeseite anzuzeigen, die darauf ausgelegt ist, Anmeldedaten zu stehlen. Gestohlene Anmeldedaten werden dann zu einem vom Angreifer kontrollierten System (`wrned[.]com`) exfiltriert und mit der **ROT13**-Verschlüsselung kodiert. Die letzte Stufe beinhaltet die Bereitstellung einer plattformübergreifenden Backdoor, die Windows-, macOS- und Linux-Systeme infizieren kann. ### Filemanager Backdoor Details Der Infektor sammelt auch sensible Informationen, darunter Bash-Verlauf, SSH-Daten, Geräteinformationen, Datenbankpasswörter und **cPanel**-virtuelle Aliase (valiases) und sendet diese an eine von einem Benutzer namens "0xWR" verwaltete **Telegram**-Gruppe. **Filemanager**, das über ein Shell-Skript von `wpsock[.]com` bereitgestellt wird, bietet Funktionen zur Dateiverwaltung, zur Ausführung von Remote-Befehlen und zur Shell-Funktionalität. ### Mr_Rot13's Geschichte Beweise deuten darauf hin, dass Mr_Rot13 seit mehreren Jahren aktiv ist. Die in den JavaScript-Code integrierte Command-and-Control (C2)-Domain wurde zuvor mit einer PHP-basierten Backdoor (`helper.php`) in Verbindung gebracht, die im April 2022 auf **VirusTotal** hochgeladen wurde. Die Domain wurde ursprünglich im Oktober 2020 registriert. "Über die sechs Jahre von 2020 bis heute ist die Erkennungsrate von Mr_Rot13s verwandten Samples und Infrastrukturen über Sicherheitsprodukte hinweg extrem niedrig geblieben", bemerkte XLab und hob die Tarnung des Bedrohungsakteurs hervor.