40 000 серверов пострадали в результате активной эксплуатации уязвимости cPanel CVE-2026-41940

Более 40 000 серверов скомпрометированы в ходе активной эксплуатации cPanel

Критическая уязвимость обхода аутентификации в cPanel и WebHost Manager (WHM) активно эксплуатируется, и масштаб ущерба весьма значителен. По оценкам Shadowserver Foundation, более 40 000 серверов, вероятно, уже скомпрометированы, а Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость, отслеживаемую как CVE-2026-41940, в каталог известных эксплуатируемых уязвимостей (KEV). Ведомство призывает всех затронутых администраторов незамедлительно применить патчи.

cPanel — одна из наиболее широко используемых панелей управления веб-хостингом в мире, обеспечивающая работу миллионов веб-сайтов в средах общего, VPS- и выделенного хостинга. Именно такое широкое распространение делает эту уязвимость столь значимой.

Что такое CVE-2026-41940 и почему это важно?

CVE-2026-41940 — это уязвимость обхода аутентификации, то есть злоумышленники могут получить доступ к административным функциям cPanel или WHM без предоставления действительных учётных данных. На практике это даёт злоумышленникам возможность манипулировать размещёнными веб-сайтами, получать доступ к хранимым данным, изменять конфигурации серверов, внедрять вредоносный код и потенциально перемещаться по горизонтали в средах общего хостинга, где на одном сервере сосуществует множество веб-сайтов.

Уязвимость классифицирована как критическая, что отражает как лёгкость её эксплуатации, так и уровень предоставляемого доступа. Как только злоумышленник получает административный контроль над средой cPanel, последствия могут распространиться далеко за пределы самого сервера. Посетители веб-сайтов, размещённых на скомпрометированных серверах, могут подвергнуться воздействию вредоносного программного обеспечения, фишинговых страниц или скриптов для кражи учётных данных без каких-либо видимых предупреждений.

Добавление уязвимости в каталог KEV агентством CISA является убедительным сигналом того, что её эксплуатация — не теоретическая возможность. Это происходит прямо сейчас, в масштабе.

Скрытая угроза для рядовых пользователей интернета

Большинство людей, столкнувшихся с этой новостью, предположат, что она касается только хостинговых компаний и администраторов веб-сайтов. Это предположение упускает более широкую картину. Когда хостинговый сервер скомпрометирован, каждый веб-сайт, работающий на этой инфраструктуре, становится потенциальным вектором атаки.

Среды общего хостинга, распространённые среди малого бизнеса, личных веб-сайтов и стартапов на ранних стадиях, нередко размещают десятки и даже сотни веб-сайтов на одном сервере. Если этот сервер работает на уязвимой версии cPanel и не был исправлен, один факт эксплуатации может затронуть все эти сайты одновременно.

Пользователи, посещающие эти веб-сайты, могут столкнуться с такими угрозами, как скрытая загрузка вредоносного программного обеспечения, поддельные страницы входа, предназначенные для кражи учётных данных, перехват сеансов и манипуляция контентом по типу атаки «человек посередине». Скомпрометированный сервер может отдавать вредоносный контент, выглядя при этом совершенно нормально в браузере.

Это не отдалённый и маловероятный сценарий. По имеющимся оценкам, уже затронуты 40 000 серверов, а значит, значительная часть повседневного веб-трафика прямо сейчас, вероятно, проходит через скомпрометированную инфраструктуру.

Что это означает для вас

Если вы управляете веб-сайтом на хостинге под управлением cPanel, приоритет очевиден: проверьте, применил ли ваш хостинг-провайдер патч для CVE-2026-41940, и без промедления установите все доступные обновления. Если вы не уверены в степени своей уязвимости, обратитесь напрямую к своему хостинг-провайдеру.

Для рядовых пользователей, не управляющих серверами, ситуация требует иного рода осведомлённости. Есть несколько практических шагов, заслуживающих внимания:

• Не отключайте функции безопасности браузера. Большинство современных браузеров включают средства защиты при просмотре, которые помечают известные вредоносные сайты. Убедитесь, что они активированы.
• Будьте осторожны с учётными данными. Если вы замечаете что-то необычное на знакомом веб-сайте — например, немного изменившийся макет страницы входа или неожиданные предупреждения о сертификате — не продолжайте.
• Используйте надёжный DNS-резолвер с фильтрацией угроз. Некоторые DNS-службы помечают известные вредоносные домены ещё до того, как браузер загрузит страницу.
• Рассмотрите использование VPN при работе в публичных или ненадёжных сетях. VPN шифрует ваш трафик между устройством и VPN-сервером, снижая риск перехвата на уровне сети — особенно в общедоступных сетях Wi-Fi, где злоумышленники могут использовать ослабленные конфигурации серверов.
• Следите за аккаунтами, связанными с регулярно посещаемыми сайтами. Если веб-сайт, которым вы пользуетесь, работает на скомпрометированном хостинге, учётные данные, хранящиеся или передаваемые через этот сайт, могут оказаться под угрозой.

Для хостинг-провайдеров и системных администраторов рекомендации CISA однозначны: немедленно применить патчи, провести аудит журналов доступа на предмет признаков несанкционированной активности и проверить любые конфигурации, которые могли быть изменены в период эксплуатации.

Кампания по эксплуатации CVE-2026-41940 в cPanel напоминает о том, что уязвимости в базовой веб-инфраструктуре создают волновые эффекты, распространяющиеся далеко за пределы самих серверов. Оставаться в курсе событий и принимать базовые защитные меры — наиболее практичные ответные действия, доступные пользователям с любым уровнем технической подготовки.