cPanel-Lücke: Hacker kapern massenhaft Webportale und schleusen Ransomware ein
Vor einigen Tagen wurde eine kritische Sicherheitslücke in der Hosting-Verwaltungssoftware cPanel und Webhost Manager (WHM) bekannt. Wie unter anderem The Register berichtet(öffnet im neuen Fenster), nutzen Angreifer diese Lücke schon mindestens seit Februar aus, um Server zu kapern und immer mehr Betreiber zu einer Lösegeldzahlung aufzufordern. Admins sollten also zügig handeln, um ihre Systeme zu schützen.
Bei cPanel und WHM handelt es sich um eine bei vielen Hosting-Plattformen genutzte Software, mit der sich Webseiten, E-Mail-Dienste, Domains, Dateien, Datenbanken und Sicherheitseinstellungen über eine Weboberfläche verwalten lassen. Untersuchungen von Rapid7(öffnet im neuen Fenster) zufolge gibt es weltweit rund 1,5 Millionen über das Internet erreichbare Instanzen.
Die eingangs genannte Sicherheitslücke ist als CVE-2026-41940(öffnet im neuen Fenster) registriert und verfügt über einen kritischen Schweregrad (CVSS: 9,8). Laut Beschreibung können Angreifer aufgrund eines Fehlers im Anmeldeprozess die Authentifizierung umgehen und unbefugt auf die Verwaltungsoberfläche zugreifen. Eine spezielle Konfiguration braucht es dafür nicht. Schon in der Standardeinstellung von cPanel soll die Lücke ausnutzbar sein.
Patchen und Kompromittierung prüfen
Als anfällig gelten laut Sicherheitsmeldung des Herstellers(öffnet im neuen Fenster) alle cPanel-Versionen nach 11.40. Patches wurden mit den Versionen 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.124.0.35, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 und 11.136.0.5 bereitgestellt. Auch die auf cPanel und WHM basierende Wordpress-Managementplattform WP Squared hat mit Version 136.1.7 eine Korrektur erhalten.
Die Patches einzuspielen allein ist allerdings nicht ausreichend. Da die Sicherheitslücke schon seit Wochen ausgenutzt wird, sollten Admins auch prüfen, ob ihre Instanzen gegebenenfalls schon kompromittiert sind. Um diesen Schritt zu vereinfachen, hat der cPanel-Entwickler in seiner Meldung(öffnet im neuen Fenster) ein Skript sowie weitere Anweisungen bereitgestellt.
Auch in Deutschland ist die Angriffsfläche nicht zu unterschätzen. Einer Warnmeldung des BSI (PDF)(öffnet im neuen Fenster) zufolge werden hierzulande mindestens 18.000 cPanel-Instanzen betrieben. Das Bundesamt betont, dass cPanel für Angreifer ein attraktives Ziel darstellt. Es sei daher anzunehmen, "dass verschiedene Angreifer kurzfristig automatisierte und breite Angriffe mit der Schwachstelle CVE-2026-41940 durchzuführen werden", so das BSI.
Angriffe mit Sorry-Ransomware
Dass eine entsprechende Angriffswelle bereits läuft, zeigt ein Bericht von Bleeping Computer(öffnet im neuen Fenster). Demnach schleusten Angreifer auf zahlreichen Instanzen eine Ransomware namens Sorry ein. Letztere ist auf Linux-Systeme zugeschnitten und markiert verschlüsselte Dateien mit der Dateinamenserweiterung .sorry.
Die Angreifer hinterlassen nach erfolgreicher Verschlüsselung jeweils ein Erpresserschreiben mit einer ID für das Peer-to-Peer-Messaging-Protokoll Tox, um Kontakt für eine Lösegeldverhandlung aufzunehmen. Eine Google-Suche nach der ID(öffnet im neuen Fenster) zeigt, dass bereits zahlreiche Webportale von den gleichen Angreifern infiltriert wurden.
Die Shadowserver Foundation identifizierte bei eigenen Scans(öffnet im neuen Fenster) über 44.000 Systeme, die mit hoher Wahrscheinlichkeit schon kompromittiert sind. Die USA führen dabei mit etwa 15.200 Instanzen das Feld an. Danach folgen Frankreich (4.300), Deutschland (4.200) und das Vereinigte Königreich (2.300).
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.