## Explotada Vulnerabilidad de Bypass de Autenticación de cPanel en Ataques Dirigidos Investigadores de **Ctrl-Alt-Intel** detectaron el 2 de mayo de 2026 una campaña que abusa de la **CVE-2026-41940**, una vulnerabilidad crítica de bypass de autenticación en **cPanel** y WebHost Manager (WHM). Esta falla permite a atacantes remotos obtener control elevado del panel de control.  Los ataques se originan desde la dirección IP `95.111.250[.]175` y se dirigen principalmente a dominios gubernamentales y militares asociados con Filipinas (`*.mil.ph` y `*.ph`) y Laos (`*.gov.la`), junto con MSPs y proveedores de hosting. Los actores de amenazas están utilizando pruebas de concepto (PoCs) disponibles públicamente encontradas en GitHub para explotar la vulnerabilidad. ## Portal de Defensa Indonesio Atacado con Cadena de Exploits Personalizada Antes de los ataques a **cPanel**, el actor de amenazas empleó una cadena de exploits personalizada separada dirigida a un portal de capacitación del sector de defensa indonesio. Esto implicó una combinación de inyección SQL autenticada y ejecución remota de código, lo que indica que el atacante ya poseía credenciales válidas. "El script utiliza credenciales codificadas y evita el CAPTCHA del portal leyendo el valor esperado del CAPTCHA de la cookie de sesión emitida por el servidor en lugar de resolver el desafío normalmente", declararon en **Ctrl-Alt-Intel**. "Una vez autenticado y superado el CAPTCHA, el actor pasa a una función de gestión de documentos. El parámetro vulnerable es el campo utilizado para guardar el nombre de un documento, y el script inyecta SQL en ese campo al publicar en el endpoint de guardado de documentos."  ## Framework AdaptixC2 y Acceso Persistente El análisis revela que el actor de amenazas utiliza el framework de comando y control (C2) **AdaptixC2** para controlar de forma remota los endpoints comprometidos. También se implementan herramientas como OpenVPN y Ligolo para establecer acceso persistente a las redes internas de las víctimas. "El actor construyó una capa de acceso duradera utilizando OpenVPN, Ligolo, persistencia de systemd, y luego usó ese acceso para pivotar hacia una red interna y exfiltrar un corpus sustancial de documentos del sector ferroviario chino", agregó **Ctrl-Alt-Intel**. ## Explotación Generalizada y Mitigación La identidad del actor de amenazas sigue siendo desconocida. Sin embargo, **Censys** reportó evidencia de que múltiples terceros estaban utilizando la vulnerabilidad de **cPanel** en menos de 24 horas después de su divulgación pública, incluyendo el despliegue de variantes de la botnet **Mirai** y una cepa de ransomware llamada Sorry. Según la Shadowserver Foundation, aproximadamente 44,000 direcciones IP comprometidas a través de la **CVE-2026-41940** estuvieron involucradas en ataques de escaneo y fuerza bruta el 30 de abril de 2026. Este número ha disminuido a 3,540 a partir del 3 de mayo de 2026. **cPanel** ha lanzado un script de detección actualizado para reducir los falsos positivos. Se recomienda encarecidamente a los usuarios que apliquen los parches disponibles de inmediato y sigan los procedimientos recomendados para limpiar los entornos afectados si se identifican indicadores de compromiso (IoCs).