## Contournement d'authentification cPanel exploité dans des attaques ciblées Les chercheurs de **Ctrl-Alt-Intel** ont détecté le 2 mai 2026 une campagne abusant de **CVE-2026-41940**, une vulnérabilité critique de contournement d'authentification dans **cPanel** et WebHost Manager (WHM). Cette faille permet aux attaquants distants d'obtenir un contrôle élevé du panneau de contrôle.  Les attaques proviennent de l'adresse IP `95.111.250[.]175` et ciblent principalement des domaines gouvernementaux et militaires associés aux Philippines (`*.mil.ph` et `*.ph`) et au Laos (`*.gov.la`), ainsi que des MSP et des fournisseurs d'hébergement. Les acteurs de la menace utilisent des preuves de concept (PoC) publiquement disponibles trouvées sur GitHub pour exploiter la vulnérabilité. ## Portail de défense indonésien ciblé avec une chaîne d'exploit personnalisée Avant les attaques sur **cPanel**, l'acteur de la menace a utilisé une chaîne d'exploit personnalisée distincte ciblant un portail de formation du secteur de la défense indonésien. Cela impliquait une combinaison d'injection SQL authentifiée et d'exécution de code à distance, indiquant que l'attaquant possédait déjà des identifiants valides. « Le script utilise des identifiants codés en dur et contourne le CAPTCHA du portail en lisant la valeur CAPTCHA attendue dans le cookie de session émis par le serveur plutôt qu'en résolvant le défi normalement », ont déclaré **Ctrl-Alt-Intel**. « Une fois authentifié et le CAPTCHA passé, l'acteur passe à une fonction de gestion de documents. Le paramètre vulnérable est le champ utilisé pour enregistrer le nom d'un document, et le script injecte du SQL dans ce champ lors de la publication sur le point de terminaison de sauvegarde du document. »  ## Framework AdaptixC2 et accès persistant L'analyse révèle que l'acteur de la menace utilise le framework de commande et de contrôle (C2) **AdaptixC2** pour contrôler à distance les points d'extrémité compromis. Des outils tels que OpenVPN et Ligolo sont également déployés pour établir un accès persistant aux réseaux internes des victimes. « L'acteur a construit une couche d'accès durable à l'aide d'OpenVPN, de Ligolo, de la persistance systemd, puis a utilisé cet accès pour pivoter vers un réseau interne et exfiltrer un corpus substantiel de documents du secteur ferroviaire chinois », a ajouté **Ctrl-Alt-Intel**. ## Exploitation généralisée et atténuation L'identité de l'acteur de la menace reste inconnue. Cependant, **Censys** a rapporté des preuves que plusieurs tiers ont utilisé la vulnérabilité **cPanel** dans les 24 heures suivant sa divulgation publique, y compris le déploiement de variantes du botnet **Mirai** et d'une souche de ransomware appelée Sorry. Selon la Shadowserver Foundation, environ 44 000 adresses IP compromises via **CVE-2026-41940** ont été impliquées dans des attaques de scan et de force brute le 30 avril 2026. Ce nombre a depuis diminué à 3 540 au 3 mai 2026. **cPanel** a publié un script de détection mis à jour pour réduire les faux positifs. Il est fortement conseillé aux utilisateurs d'appliquer immédiatement les correctifs disponibles et de suivre les procédures recommandées pour nettoyer les environnements affectés si des indicateurs de compromission (IoC) sont identifiés.