Майже за тиждень після того, як розробники популярного програмного забезпечення для керування вебсерверами cPanel і WebHost Manager (WHM) попередили користувачів про критичну помилку, хакери масово зламують тисячі сайтів, які покладаються на вразливе ПЗ.
Станом на понеділок у мережі працює понад 550 000 потенційно вразливих серверів з cPanel, і ця цифра вже кілька днів майже не змінюється. Водночас кількість імовірно скомпрометованих інстансів cPanel зараз становить близько 2 000, тоді як у четвер їх було приблизно 44 000. Цю статистику публікує Shadowserver — некомерційна організація, що сканує та моніторить інтернет на предмет кібератак.
У четвер дослідники безпеки повідомили, що хакери почали зламувати сервери з cPanel і WHM, використовуючи помилку, яка дозволяє отримати повний контроль над уразливими серверами та захопити їх через панелі керування.
Як раніше писало видання Bleeping Computer, про масштаб завданої шкоди можна судити хоча б із того, що Google проіндексував десятки сайтів, які певний час відображали повідомлення від групи хакерів. Вони стверджували, що зашифрували файли жертв у межах, ймовірно, атаки із застосуванням програм-вимагачів. Деякі з цих сайтів зараз знову завантажуються нормально.
У записці з вимогою викупу був вказаний ідентифікатор чату для контакту з хакерами, але вони не одразу відповіли на запит TechCrunch про коментар.
У четвер Агентство з кібербезпеки та безпеки інфраструктури США (CISA) попередило, що вразливість, якій присвоєно ідентифікатор CVE-2026-41940, уже активно експлуатується, і додало її до свого каталогу відомих експлуатованих вразливостей (Known Exploited Vulnerabilities, KEV). CISA закликало урядові установи встановити оновлення до неділі. Агентство не надало негайної відповіді на запит щодо того, чи може воно підтвердити, що урядові організації вже виправили свої сервери.
Атаки на вебсервери з cPanel і WHM, імовірно, тривали задовго до офіційного розкриття вразливості. За словами CEO хостинг-провайдера KnownHost Деніела Пірсона, його компанія фіксує такі атаки щонайменше з 23 лютого.
Неназваний представник cPanel підтвердив отримання запиту TechCrunch про коментар, але не надав розгорнутої відповіді.
Оновлено після отримання відповіді від cPanel.