## Bypass de Autenticação do cPanel Explorada em Ataques Direcionados Pesquisadores da **Ctrl-Alt-Intel** detectaram em 2 de maio de 2026 uma campanha abusando da **CVE-2026-41940**, uma vulnerabilidade crítica de bypass de autenticação no **cPanel** e WebHost Manager (WHM). Essa falha permite que atacantes remotos obtenham controle elevado do painel de controle.  Os ataques se originam do endereço IP `95.111.250[.]175` e visam principalmente domínios governamentais e militares associados às Filipinas (`*.mil.ph` e `*.ph`) e Laos (`*.gov.la`), além de MSPs e provedores de hospedagem. Os atores de ameaça estão utilizando provas de conceito (PoCs) publicamente disponíveis encontradas no GitHub para explorar a vulnerabilidade. ## Portal de Defesa Indonésio Alvo com Cadeia de Exploit Personalizada Antes dos ataques ao **cPanel**, o ator de ameaça empregou uma cadeia de exploit personalizada separada visando um portal de treinamento do setor de defesa indonésio. Isso envolveu uma combinação de injeção de SQL autenticada e execução remota de código, indicando que o atacante já possuía credenciais válidas. "O script usa credenciais codificadas e contorna o CAPTCHA do portal lendo o valor esperado do CAPTCHA do cookie de sessão emitido pelo servidor, em vez de resolver o desafio normalmente", declarou a **Ctrl-Alt-Intel**. "Uma vez autenticado e passando pelo CAPTCHA, o ator avança para uma função de gerenciamento de documentos. O parâmetro vulnerável é o campo usado para salvar o nome de um documento, e o script injeta SQL nesse campo ao postar para o endpoint de salvamento de documentos."  ## Framework AdaptixC2 e Acesso Persistente A análise revela que o ator de ameaça utiliza o framework de comando e controle (C2) **AdaptixC2** para controlar remotamente endpoints comprometidos. Ferramentas como OpenVPN e Ligolo também são implantadas para estabelecer acesso persistente a redes internas de vítimas. "O ator construiu uma camada de acesso durável usando OpenVPN, Ligolo, persistência do systemd e, em seguida, usou esse acesso para pivotar para uma rede interna e exfiltrar um corpus substancial de documentos do setor ferroviário chinês", acrescentou a **Ctrl-Alt-Intel**. ## Exploração Generalizada e Mitigação A identidade do ator de ameaça permanece desconhecida. No entanto, a **Censys** relatou evidências de múltiplos terceiros armando a vulnerabilidade do **cPanel** dentro de 24 horas após sua divulgação pública, incluindo a implantação de variantes da botnet **Mirai** e uma cepa de ransomware chamada Sorry. De acordo com a Shadowserver Foundation, aproximadamente 44.000 endereços IP comprometidos via **CVE-2026-41940** estiveram envolvidos em ataques de escaneamento e força bruta em 30 de abril de 2026. Esse número diminuiu para 3.540 em 3 de maio de 2026. O **cPanel** lançou um script de detecção atualizado para reduzir falsos positivos. Os usuários são fortemente aconselhados a aplicar os patches disponíveis imediatamente e seguir os procedimentos recomendados para limpar ambientes afetados se indicadores de comprometimento (IoCs) forem identificados.