cPanel and WHM Servers Targeted in Attacks Exploiting CVE-2026-41940
2026/05/11 gbhackers — cPanel および WHM サーバに影響を及ぼす、深刻な認証バイパスの脆弱性 CVE-2026-41940 (CVSS 9.8) が、現在アクティブに悪用されている。この攻撃を背後で操るのは、高度で追跡が困難なサイバー犯罪シンジケート Mr_Rot13 である。この脆弱性を悪用する未認証のリモート攻撃者は、標準認証プロトコルを完全にバイパスし、影響を受ける Linux システムに対する完全な管理者権限を取得できる。
XLab の研究者たちによると、この高度なハッキング・グループは、これまでの 6年以上にわたり、きわめて低い検知率で活動してきた。
現在の攻撃キャンペーンではこの深刻な欠陥の積極的な悪用により、Go ベースの高度なペイロード・インジェクタが展開されている。それにより、永続的なバックドアが埋め込まれ、侵害済みの仮想ホスト管理環境に対して、包括的なリモート制御の能力が確立されている。
cPanel および WHM サーバが標的
2026年4月下旬に脆弱性が公開された後に、グローバル監視システムに記録されたのは、2,000 を超える異なる IP アドレスからの、自動化された大規模な攻撃試行である。
Ctrl-Alt-Intel は、5月初旬に重大なインシデントが発生したことを報告している。この cPanel 脆弱性を悪用する攻撃者は、東南アジアの政府および軍事ネットワークに侵入し、4GB 以上の機密データを流出させた。
Mr_Rot13 による攻撃で用いられるのは、リモートサーバからダウンロードされ、バックグラウンドで静かに実行されるカスタム Go ベースのペイロード・インフェクタである。
このインフェクタが自動的に実行するのは、root パスワードの変更/cpanel-updater とラベル付けされた SSH 公開鍵の追加/Python ベース Web シェルの設置であると、XLab の解析結果が示している。
さらに、このペイロードの構造的な特徴から解明されたのは、実行時ログにトルコ語の出力が含まれる点であり、AI がコードの一部を生成した可能性が示唆される。
攻撃者はアクセスを強化するために、cPanel ログイン・インターフェイスのサーバ・テンプレートを改変し、カスタム悪性 JavaScript を直接注入する。
この JavaScript は、正規管理者が cPanel/WHM にログインする際に、認証情報/ユーザーエージェント/セッション情報を静かに傍受する。
こうして盗み出された認証情報は、ROT13 アルゴリズムで難読化された攻撃者ドメインや、専用の Telegram チャンネルへ向けて迅速に送信される。
攻撃者は、Telegram ボットのトークンを継続的に更新し、外部調査に対処しながら運用セキュリティを維持している。
持続的リモート制御とステルス運用
資格情報の窃取に加えて、Mr_Rot13 は filemanager と呼ばれるクロス・プラットフォームのリモート制御型トロイの木馬を配備し、長期的なアクセスを維持する。この静的リンク実行ファイルは、特定ポートで待受し続け、Web ベース GUI を通じてファイル管理/コマンド実行/シェルアクセスを提供する。
XLab によると、このツールは認証に bcrypt ハッシュを使用し、平文パスワード通信を拒否することでステルス性と耐検知性を強化している。これらの専用ツールの高度さが、攻撃者の技術力の高さを示している。
ネットワーク・インフラの追跡により、今回の攻撃と過去の未検知活動との間に、深い関連が存在することが判明した。
2022年に公開マルウェア・スキャン・リポジトリにアップロードされ、長期間にわたり検知されなかった PHP バックドアと、現在の C2 ドメインが関連付けられた。このバックドアは、WordPress を標的とし、XOR ベース文字列連結により通信処理を完全に隠蔽していた。
長期にわたる同一のドメインとエンコード技術の使用から、Mr_Rot13 の目的は単発的な攻撃ではなく、情報窃取を目的とする組織的サイバー犯罪またはスパイ活動グループであると、XLab は結論付けている。
IOC
MD5
2286f126ab4740ccf2595ad1fa0c615c *help.php2de27ca8d97124adaf604b18161a441e *Update29222f5e73dd10088fcf1204aa21f87f *Updatefb1bc3f935fdeb3555465070ba2db33c *Update45fc93426cf08f91c9f9de5f04a12263 *filemanager-darwin-amd64711afb014f64c97d7b31685709c34ce7 *filemanager-darwin-arm6422613c952459e65ce09fb6b5c1c03d47 *filemanager-linux-3869305b4ebbb4d39907cf36b62989a6af3 *filemanager-linux-amd64e49f68a363c867608972680799389daf *filemanager-linux-arm64e1ec6ebb96cf87c785ee6a7da677c059 *filemanager-linux-armv702a5990b11293236e01f174f5999df20 *filemanager-windows-386.exe_bae1f1bce7c82fa86f05b12e2e254cfc *filemanager-windows-amd64.exe_
C2
wrned.]com
注記: IP アドレスおよびドメインは、誤解決防止のためデファングされている (例: [.])。再構築は、MISP/VirusTotal/SIEM などの管理環境内でのみ実施することを強く推奨する。
訳者後書:cPanel の管理ツールを狙った深刻な認証バイパスの脆弱性と、それを悪用する攻撃グループの活動について解説する記事です。問題の原因は、必要とされる認証手順の完全なバイパスとシステム侵入を許してしまう不備にあります。脆弱性 CVE-2026-41940 を悪用する攻撃者は、管理者の権限を奪った後に、root パスワードの変更やバックドアの設置を自動的に試行します。さらに、ログイン画面に悪意の JavaScript を埋め込み、 正規ユーザーの情報を盗み出す手口も確認されています。すでに大規模なデータ流出被害も発生しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2026-41940 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.