## cPanel認証バイパスの悪用、標的型攻撃で確認 **Ctrl-Alt-Intel**の研究者は2026年5月2日、**cPanel**およびWebHost Manager（WHM）における重大な認証バイパスの脆弱性である**CVE-2026-41940**を悪用するキャンペーンを検知しました。この脆弱性により、リモート攻撃者はコントロールパネルに対する権限昇格が可能になります。  攻撃はIPアドレス `95.111.250[.]175` から発信されており、主にフィリピン（`*.mil.ph`および`*.ph`）とラオス（`*.gov.la`）に関連する政府および軍のドメイン、さらにMSPやホスティングプロバイダーを標的にしています。攻撃者はGitHubで見つかった公開されているプルーフ・オブ・コンセプト（PoC）を利用して脆弱性を悪用しています。 ## インドネシアの防衛ポータルがカスタムエクスプロイトチェーンで標的に **cPanel**攻撃に先立ち、攻撃者はインドネシアの防衛セクターのトレーニングポータルを標的とする別のカスタムエクスプロイトチェーンを使用していました。これには、認証済みのSQLインジェクションとリモートコード実行の組み合わせが含まれており、攻撃者がすでに有効な認証情報を保有していたことを示唆しています。 「このスクリプトはハードコードされた認証情報を使用し、サーバー発行のセッションCookieから期待されるCAPTCHA値を読み取ることで、ポータルのCAPTCHAを回避します。通常のようにチャレンジを解くのではなく」と**Ctrl-Alt-Intel**は述べています。 「認証され、CAPTCHAを通過すると、攻撃者はドキュメント管理機能に移行します。脆弱なパラメータは、ドキュメント名を保存するために使用されるフィールドであり、スクリプトはドキュメント保存エンドポイントにPOSTする際にそのフィールドにSQLを注入します。」  ## AdaptixC2フレームワークと永続的なアクセス 分析によると、攻撃者は**AdaptixC2**コマンド＆コントロール（C2）フレームワークを利用して、侵害されたエンドポイントをリモートで制御しています。OpenVPNやLigoloなどのツールも、内部の被害者ネットワークへの永続的なアクセスを確立するために展開されています。 「攻撃者はOpenVPN、Ligolo、systemdの永続化を使用して耐久性のあるアクセスレイヤーを構築し、そのアクセスを利用して内部ネットワークにピボットし、大量の中国鉄道セクターの文書を流出させました」と**Ctrl-Alt-Intel**は付け加えています。 ## 広範な悪用と緩和策 攻撃者の身元は不明のままです。しかし、**Censys**は、**cPanel**の脆弱性が公開されてから24時間以内に、**Mirai**ボットネットの亜種やSorryという名前のransomwareの展開を含む、複数の第三者による悪用があった証拠を報告しました。 Shadowserver Foundationによると、2026年4月30日には、**CVE-2026-41940**を介して侵害された約44,000のIPアドレスが、スキャンおよびブルートフォース攻撃に関与していました。この数は、2026年5月3日現在、3,540に減少しています。 **cPanel**は、誤検知を減らすための更新された検出スクリプトをリリースしました。ユーザーは、直ちに利用可能なパッチを適用し、侵害の兆候（IoCs）が特定された場合は、影響を受けた環境をクリーンアップするための推奨手順に従うことを強く推奨します。