黑客正在大规模利用 cPanel 漏洞来控制数千个网站

Source: TechCrunch

漏洞范围

• 截至周一，超过 550,000 台可能受影响的服务器运行 cPanel，这一数字已连续数天保持稳定。
  （Shadowserver 统计数据）

• 约 2,000 台 cPanel 实例可能已被入侵，较周四的约 44,000 台下降。
  （Shadowserver 蜜罐数据）

该漏洞的编号为 CVE‑2026‑41940。

利用活动

周四，安全研究人员报告称黑客开始入侵运行 cPanel 和 WHM 的服务器，利用一个漏洞实现对受影响控制面板的完全控制。

• 美国网络安全与基础设施安全局（CISA）警告称该漏洞已在野外被利用，并将其列入 已知被利用漏洞（KEV）目录。

  • CISA 呼吁政府机构在周日前完成补丁部署。
  • 链接：
    • CVE‑2026‑41940 详情（cPanel 支持）
    • CISA KEV 目录条目

• 一位未具名的 cPanel 发言人确认收到了 TechCrunch 的置评请求，但未作回应。

影响与勒索软件

Bleeping Computer 报道称，通过 Google 索引可见数十个站点显示勒索信，声称受害者的文件已被加密。其中一些站点现已恢复正常加载。

• 勒索信中提供了受害者联系攻击者的聊天 ID。
• 攻击者未立即回应 TechCrunch 的置评请求。

检测时间线

• 根据 KnownHost CEO Daniel Pearson 的说法，攻击最早在 2 月 23 日 被发现，表明利用行为早于公开披露。
  • 来源：Reddit 上 Daniel Pearson 的评论

参考资料

• Shadowserver IoT 设备统计
• Shadowserver 蜜罐数据
• TechCrunch 关于活跃利用的文章
• Bleeping Computer 关于勒索软件攻击的报告
• Google 搜索显示已索引的勒索信
• CISA 已知被利用漏洞目录