Lỗ hổng cPanel nguy hiểm đang bị khai thác tích cực, nạn nhân đầu tiên xuất hiện với yêu cầu tiền chuộc

Lỗ hổng cPanel nguy hiểm đang bị khai thác tích cực, nạn nhân đầu tiên xuất hiện với yêu cầu tiền chuộc

Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) đã chính thức thêm một lỗi bảo mật nghiêm trọng của cPanel vào danh sách các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities Catalog). Động thái này xác nhận rằng tin tặc đang tích cực tìm cách xâm nhập vào một trong những nền tảng lưu trữ web phổ biến nhất trên Internet.

Lỗ hổng này, được theo dõi dưới mã định danh CVE-2026-41940, có điểm số CVSS lên tới 9.8 (gần mức nghiêm trọng nhất). Nó ảnh hưởng đến tất cả các phiên bản được hỗ trợ của cPanel và WebHost Manager (WHM) được phát hành sau phiên bản 11.40, cùng với WP Squared - một lớp quản lý WordPress được xây dựng trên cùng nền tảng này. Về cơ bản, việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn máy chủ.

Tin tặc không chờ đợi bản vá

CISA đã thêm lỗi này vào danh mục của mình vào thứ Năm, khẳng định rằng những kẻ tấn công không chờ đợi cơ hội. Đến thời điểm cPanel tung ra bản vá vào thứ Ba, quá trình khai thác đã diễn ra mạnh mẽ.

Nhà cung cấp dịch vụ lưu trữ KnownHost đã đưa ra cảnh báo cụ thể hơn về tình hình thực tế, thông báo cho khách hàng rằng họ đã ghi nhận các nỗ lực khai thác thành công trước khi bất kỳ giải pháp khắc phục nào có sẵn. Trong một bài đăng trên Reddit, Giám đốc điều hành của KnownHost, Daniel Pearson, cho biết công ty đã "ghi nhận các nỗộc thực thi mã sớm nhất là vào ngày 23/2/2026" và kêu gọi người dùng hạn chế quyền truy cập cũng như giả định rằng hệ thống có thể đã bị xâm phạm nếu chưa được cập nhật.

Một nhà cung cấp khác là Namecheap cũng cho biết họ đã tạm thời chặn quyền truy cập vào cPanel và WHM, đóng cửa hệ thống cho đến khi các bản vá sẵn sàng. Hiện tại, công ty đã bắt đầu triển khai các bản cập nhật.

Mã độc tống tiền xuất hiện

Đã có những dấu hiệu ban đầu về mục đích của tin tặc sau khi xâm nhập thành công. Một chủ doanh nghiệp nhỏ đăng trên Reddit cho biết công ty của họ đã bị tấn công bằng ransomware (mã độc tống tiền) sau khi sử dụng cài đặt cPanel khá tiêu chuẩn. Người này cho biết thêm rằng nhà cung cấp dịch vụ lưu trữ của họ dường như đang gặp khó khăn trong việc xử lý sự cố. Theo đó, những kẻ tấn công đã đòi hỏi 7.000 USD để mở khóa hệ thống.

Mặc dù thông tin này mang tính giai thoại, nhưng nếu được xác nhận, điều này cho thấy lỗi này đang được tội phạm mạng sử dụng để khóa hệ thống, thay vì chỉ ẩn nấp để lấy dữ liệu lén lút.

Quy mô ảnh hưởng

Chưa có con số chính xác về số lượng tổ chức bị ảnh hưởng, nhưng công ty bảo mật Rapid7 đã sử dụng Shodan để xác định khoảng 1,5 triệu phiên bản cPanel đang tiếp xúc với Internet.

cPanel là nền tảng hỗ trợ lưu trữ cho hàng chục triệu trang web, trong đó nhiều trang được vận hành bởi các doanh nghiệp nhỏ phụ thuộc vào nhà cung cấp để xử lý vấn đề bảo mật. Đối với họ, yêu cầu "vá ngay lập tức" thường đồng nghĩa với việc "chờ đợi và hy vọng", một tình thế rất nguy hiểm khi một lỗi bảo mật mức độ nghiêm trọng cao nhất đang bị vũ khí hóa.