Lỗ hổng cPanel tồi tệ nhất năm (cho đến nay): Có khả năng đã bị khai thác dưới dạng zero-day

Các bản vá khẩn cấp hiện đã có sẵn để khắc phục một lỗ hổng nghiêm trọng trong phần mềm cPanel và WHM. Lỗ hổng này cho phép kẻ tấn công bỏ qua quy trình xác thực và giành quyền truy cập root (quyền quản trị cao nhất) trên các máy chủ sử dụng nền tảng này.

Được đánh giá với mức độ nghiêm trọng 9.8/10, lỗ hổng CVE-2026-41940 đang gây ra lo ngại lớn trong cộng đồng bảo mật, đặc biệt khi có dấu hiệu cho thấy nó đã bị khai thác trong ít nhất 30 ngày trước khi bản vá được phát hành.

Mối đe dọa đối với hạ tầng Internet

cPanel và WebHost Manager (WHM) là các bảng điều khiển dựa trên Linux, đóng vai trò là xương sống của rất nhiều dịch vụ lưu trữ web. cPanel được dùng để quản lý website, cơ sở dữ liệu, truyền tải file, cấu hình email và tên miền, trong khi WHM được sử dụng để quản lý cấp độ máy chủ.

Theo một số ước tính, các công cụ này giúp quản lý tài sản cho khoảng 70 triệu tên miền. Việc xâm nhập thành công vào chúng sẽ cung cấp cho kẻ tấn công quyền truy cập không giới hạn đến mọi dữ liệu nhạy cảm liên quan đến các chức năng này.

Như chuyên gia bảo mật từ watchTowr mô tả: "Hãy tưởng tượng nó như chìa khóa của cả một vương quốc, và sau đó là chìa khóa của từng căn hộ riêng lẻ bên trong vương quốc đó. Nếu vương quốc là Internet và các căn hộ là các trang web."

Dấu hiệu khai thác Zero-day

Điểm đáng lo ngại nhất là những tín hiệu sớm từ các chuyên gia bảo vệ hệ thống, như CEO KnownHost Daniel Pearson, cho thấy lỗ hổng này có thể đã bị khai thác dưới dạng zero-day (tức là bị tấn công trước khi nhà phát triển biết và kịp vá) trong ít nhất 30 ngày qua.

Thậm chí còn đáng sợ hơn là bản chất của lỗ hổng này: kẻ tấn công có thể đạt được quyền truy cập root trong khi bỏ qua mọi loại xác thực — một thành tựu xứng đáng với điểm số CVSS gần mức tối đa.

Lỗ hổng này ảnh hưởng đến mọi phiên bản được hỗ trợ của phần mềm trước khi áp dụng bản vá, bao gồm cả nền tảng lưu trữ WordPress WP Squared thuộc sở hữu của cPanel.

Cơ chế hoạt động của CVE-2026-41940

Lỗ hổng CVE-2026-41940 về cơ bản là một lỗi CRLF (carriage return line feed) — nghĩa là ứng dụng bị tấn công không xử lý đúng (sanitize) đầu vào do người dùng cung cấp.

Quy trình khai thác chỉ bao gồm vài bước:

1. Kẻ tấn công tạo một cookie phiên (session cookie) bằng cách thực hiện một lần đăng nhập thất bại.
2. Sau đó, họ gửi một yêu cầu với một header được tạo đặc biệt chứa chỉ thị thay đổi quyền hạn lên root.
3. Kẻ tấn công sử dụng cookie đó để đăng nhập vào cPanel và WHM với tư cách là root.

Trong các tình huống bình thường, cPanel sẽ mã hóa các giá trị do kẻ tấn công cung cấp. Tuy nhiên, trong các phiên bản chưa được vá, kẻ tấn công có thể xóa một giá trị hex và ngăn chặn quá trình mã hóa này chạy, cho phép các lệnh văn bản thuần (plaintext) như "make-me-root" đi qua hệ thống như bất kỳ mã tin cậy nào khác.

Khuyến cáo khắc phục

Lời khuyên chung hiện nay là nếu bạn đang vận hành cPanel và WHM, hãy cập nhật bản vá càng sớm càng tốt (ASAP). Đây là một lỗ hổng cực kỳ nguy hiểm, và xét đến khả năng khai thác zero-day, việc chạy script phát hiện của cPanel có thể giúp quản trị viên hiểu liệu họ chỉ cần vá lỗi hay cần phải ngắt kết nối máy chủ hoàn toàn để điều tra.

watchTowr cũng đã công bố công cụ tạo hiện vật phát hiện riêng để giúp các chuyên gia bảo vệ phát hiện các dấu hiệu xâm nhập.