Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Lỗ hổng zero-day nghiêm trọng trong cPanel & WHM đã bị khai thác từ đầu 2026

Updated
6 min read
Lỗ hổng zero-day nghiêm trọng trong cPanel & WHM đã bị khai thác từ đầu 2026
M
Mai Đức Nam Anh

Vừa qua, cPanel phát hành bản vá khẩn cấp cho một lỗ hổng cực kỳ nghiêm trọng trong sản phẩm cPanel & WHM (WebHost Manager), cho phép kẻ tấn công ẩn danh từ xa vượt qua cơ chế đăng nhập và chiếm quyền quản trị cấp root trên toàn bộ máy chủ. Đáng chú ý, lỗ hổng này đã bị khai thác trên thực tế trong khoảng 2 tháng trước khi bản vá được phát hành.

Thông tin chi tiết

  • Định danh lỗ hổng: CVE-2026-41940

  • Điểm CVSS (3.1): 9.8

  • Mức độ nghiêm trọng: CRITICAL - Cực kỳ nghiêm trọng

  • Mô tả: Lỗ hổng bỏ qua xác thực (authentication bypass) do lỗi CRLF injection (Carriage Return Line Feed – tiêm ký tự xuống dòng) trong luồng đăng nhập và xử lý session của cpsrvd (cPanel service daemon). Kẻ tấn công ẩn danh từ xa có thể lợi dụng lỗi này để ghi tùy ý các thuộc tính vào file session bao gồm user=root, từ đó chiếm quyền quản trị cấp cao nhất mà không cần bất kỳ thông tin đăng nhập hợp lệ nào.

  • Phiên bản bị ảnh hưởng: Toàn bộ các phiên bản cPanel & WHM sau 11.40 và WP Squared trước 136.1.7.

cPanel & WHM là bộ phần mềm quản lý hosting phổ biến nhất thế giới, chạy trên nền Linux. WHM (Web Host Manager) cung cấp giao diện quản trị cấp root cho các nhà cung cấp dịch vụ hosting, trong khi cPanel là giao diện hướng người dùng cuối để quản lý website, cơ sở dữ liệu, email và tên miền. Theo ước tính, cPanel & WHM hiện hỗ trợ hơn 70 triệu tên miền trên toàn cầu. Một truy vấn Shodan cơ bản cho thấy khoảng 1,5 triệu instance cPanel đang được expose trực tiếp lên internet – đây là bề mặt tấn công cực kỳ rộng lớn khi lỗ hổng có điểm CVSS 9.8 và PoC đã được công bố công khai.

Ngoài ra, CVE-2026-41940 cũng ảnh hưởng đến WP Squared – nền tảng WordPress hosting do cPanel sở hữu, mở rộng thêm phạm vi tác động đến các môi trường quản lý WordPress doanh nghiệp.

Lỗi CRLF injection xảy ra khi một ứng dụng không lọc đúng cách các ký tự xuống dòng (\r\n) trong dữ liệu đầu vào của người dùng, khiến kẻ tấn công có thể tiêm nội dung tùy ý vào các file hoặc phản hồi HTTP.

Trong trường hợp của CVE-2026-41940, chuỗi tấn công diễn ra theo các bước sau:

  1. Trước khi xác thực, cpsrvd tự động ghi một file session mới lên disk. Thông qua cookie whostmgrsession với việc bỏ qua một đoạn giá trị để tránh quá trình mã hóa thông thường, kẻ tấn công có thể chèn các ký tự \r\n độc hại vào header Authorization.

  2. Hệ thống sau đó ghi file session mà không lọc dữ liệu, cho phép kẻ tấn công chèn trực tiếp thuộc tính user=root vào file session.

  3. Cuối cùng, bằng cách kích hoạt lại session từ file, kẻ tấn công có thể đăng nhập thành công với quyền quản trị root, đồng thời toàn bộ quá trình diễn ra mà không yêu cầu bất kỳ thông tin xác thực hợp lệ nào.

Mức độ nguy hiểm của CVE-2026-41940 được cho là cực kỳ nghiêm trọng với bằng chứng khai thác trên thực tế đã xuất hiện từ tháng 2/2026. Các hậu quả có thể xảy ra bao gồm:

  • Kiểm soát toàn bộ máy chủ hosting: Kẻ tấn công với quyền root có thể đọc, sửa đổi hoặc xóa toàn bộ dữ liệu trên máy chủ, bao gồm: cơ sở dữ liệu, file cấu hình và source code của tất cả website đang chạy trên server đó.

  • Tấn công chuỗi cung ứng hosting: Do một máy chủ cPanel có thể quản lý hàng trăm đến hàng nghìn website của nhiều khách hàng khác nhau, một lần xâm nhập thành công có thể dẫn đến việc toàn bộ các website đó bị ảnh hưởng như cài mã độc, thu thập thông tin thẻ tín dụng (skimmer) hoặc phát tán malware đến người dùng cuối.

  • Triển khai malware quy mô lớn: Theo ghi nhận thực tế, các nhóm tấn công đã lợi dụng CVE-2026-41940 để phát tán biến thể botnet Mirai và Sorry ransomware trên các máy chủ bị xâm nhập.

Đây không phải lần đầu cPanel đối mặt với lỗ hổng nghiêm trọng trong thời gian gần đây. Chỉ vài ngày sau khi CVE-2026-41940 được vá, cPanel tiếp tục phát hành bản vá cho ba lỗ hổng mới khác (CVE-2026-29201, CVE-2026-29202, CVE-2026-29203) với điểm CVSS lên đến 8.8, liên quan đến leo thang đặc quyền, thực thi mã tùy ý và tấn công từ chối dịch vụ. Tính đến thời điểm hiện tại, Shadowserver Foundation ghi nhận hơn 44.000 địa chỉ IP đang chủ động quét, khai thác hoặc brute force nhắm vào các instance cPanel trên toàn cầu.

Khắc phục & Khuyến nghị

Lỗ hổng CVE-2026-41940 đang bị khai thác tích cực với PoC được công khai rộng rãi. Với phạm vi ảnh hưởng lên tới hàng triệu instance cùng bằng chứng cho thấy việc khai thác đã diễn ra từ hơn hai tháng trước khi có bản vá, đội ngũ FPT Threat Intelligence khuyến nghị:

  • Cập nhật bản vá ngay lập tức: Nâng cấp cPanel & WHM lên phiên bản vá tương ứng với nhánh đang sử dụng (xem bảng phiên bản ở trên). Đây là ưu tiên hàng đầu và không có hành động thay thế mang hiệu quả lâu dài.

  • Kiểm tra dấu hiệu xâm phạm: Chạy script phát hiện do cPanel cung cấp để xác định liệu hệ thống đã bị khai thác hay chưa. Đồng thời kiểm tra các thư mục session /var/cpanel/sessions/raw//var/cpanel/sessions/cache/, rà soát các cron job, SSH authorized keys, WHM hooks bất thường và các package được cài đặt trong khoảng thời gian từ tháng 2 đến tháng 5 năm 2026.

  • Hạn chế truy cập cổng quản trị: Chặn truy cập từ internet vào các cổng 2083 (cPanel) và 2087 (WHM) tại tầng mạng hoặc tường lửa, chỉ cho phép truy cập từ các địa chỉ IP tin cậy trong thời gian chờ vá lỗi.

  • Giám sát và săn tìm mối đe dọa chủ động: Giám sát bảo mật 24/7, đồng thời chủ động threat hunting hệ thống của tổ chức nhằm phát hiện và phản ứng kịp thời trước bất kỳ dấu hiệu bất thường nào xảy ra.

Tham khảo

  1. Security: CVE-2026-41940 - cPanel & WHM / WP2
#threat-intelligence#cpanel#whm

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

801 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.