adjust

SuaInternet.COM

Menu
Home / Blog / Vulnerabilidade crítica no cPanel expõe milhões de sites

Tecnologia

Vulnerabilidade crítica no cPanel expõe milhões de sites

person

Por SuaInternet.COM

5 de maio de 2026

Uma vulnerabilidade crítica de bypass de autenticação no cPanel e WebHost Manager (WHM) está sendo ativamente explorada por hackers, comprometendo milhares de sites em todo o mundo. A falha, rastreada como CVE-2026-41940, possui pontuação CVSS de 9.8 (quase máxima) e permite que atacantes remotos contornem a tela de login e obtenham acesso total ao painel de administração.

Escala do ataque: Números alarmantes

Segundo dados da Shadowserver, organização sem fins lucrativos que monitora ataques cibernéticos na internet, até o dia 4 de maio de 2026:

  • 550.000 servidores cPanel ainda estavam potencialmente vulneráveis
  • 2.000 instâncias provavelmente comprometidas (reduzido de 44.000 na quinta-feira)
  • 44.000 IPs únicos participaram dos ataques inicialmente
  • 60 milhões de domínios são gerenciados pelo cPanel globalmente

O cPanel e WHM são suítes de software amplamente utilizadas para gerenciar servidores web que hospedam sites, gerenciam e-mails e lidam com configurações e bancos de dados importantes necessários para manter um domínio na internet.

Zero-Day explorado por meses

Apesar do patch ter sido lançado apenas em 28 de abril de 2026, evidências mostram que hackers exploravam a vulnerabilidade como zero-day desde 23 de fevereiro de 2026 – mais de dois meses antes da divulgação pública.

Daniel Pearson, CEO da KnownHost, relatou em post no Reddit que sua empresa detectou tentativas de exploração da vulnerabilidade desde fevereiro. Cerca de 30 servidores da KnownHost mostraram sinais de acesso não autorizado autorizado entre milhares de computadores em sua rede.

Mecanismo do ataque: Injeção CRLF e manipulação de arquivos de sessão

A vulnerabilidade explora uma injeção CRLF (Carriage Return Line Feed) que permite a um atacante não autenticado injetar linhas codificadas em arquivos de sessão pré-existentes, manipulando assim o sistema de autenticação do cPanel.

Uma vez explorada com sucesso, a falha concede:

  • Acesso completo ao painel de administração
  • Controle total sobre todos os sites hospedados
  • Acesso a bancos de dados e e-mails
  • Capacidade de upload de malware
  • Possibilidade de criptografia de arquivos (ransomware)

Ransomware “Sorry”: A nova ameaça

A vulnerabilidade está sendo massivamente explorada para distribuir o ransomware “Sorry”, que criptografa dados das vítimas e exibe mensagens de resgate.

O Bleeping Computer relatou que o Google indexou dezenas de websites que, em algum momento, exibiram mensagens de hackers alegando ter criptografado os arquivos da vítima. Algumas dessas mensagens incluíam IDs de chat para contato com os criminosos.

Relatos indicam que sites comprometidos exibiam mensagens como:

“Seus arquivos foram criptografados. Entre em contato através do ID de chat para instruções de pagamento do resgate.”

Resposta das agências de segurança

CISA (Cybersecurity and Infrastructure Security Agency)

A agência de segurança cibernética dos EUA adicionou a CVE-2026-41940 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV – Known Exploited Vulnerabilities) e ordenou que agências governamentais aplicassem o patch até domingo, 4 de maio.

Agência Nacional de Cibersegurança do Canadá

Em advisory publicado, alertou que a falha pode ser explorada para comprometer websites em servidores de hospedagem compartilhada e que “a exploração é altamente provável”, exigindo ação imediata de clientes do cPanel ou seus provedores de hospedagem.

Cyber.gov.au (Austrália)

O Australian Signals Directorate (ASD) confirmou exploração ativa na Austrália e emitiu alertas urgentes para todos os usuários do cPanel/WHM.

CSA (Cingapura)

A Cyber Security Agency de Cingapura publicou alertas sobre a exploração ativa da vulnerabilidade crítica.

Resposta dos Provedores de Hospedagem

Namecheap

O gigante de hospedagem Namecheap, que utiliza cPanel para gerenciar servidores de clientes, bloqueou preventivamente o acesso aos painéis cPanel após tomar conhecimento da falha, dando tempo para aplicar patches em todos os sistemas dos clientes.

HostGator

A HostGator confirmou que aplicou patches em seus sistemas e classificou a vulnerabilidade como “exploit crítico de bypass de autenticação”.

KnownHost

A KnownHost bloqueou brevemente o acesso aos sistemas dos clientes antes de aplicar os patches de segurança, prevenindo exploração adicional.

Quem qesenvolve o cPanel?

O cPanel é desenvolvido pela Webpros, empresa que afirma gerenciar mais de 60 milhões de domínios em todo o mundo. A Webpros não respondeu imediatamente aos pedidos de comentário da imprensa sobre a escala total do incidente.

Além do patch para cPanel e WHM, a empresa também lançou uma correção de segurança para o WP Squared, ferramenta similar para gerenciamento de sites WordPress.

Detalhes técnicos da vulnerabilidade

Versões afetadas

Todas as versões suportadas do cPanel e WHM são afetadas, incluindo:

  • cPanel (todas as versões após 11.40)
  • cPanel DNSOnly
  • WebHost Manager (WHM)
  • WP2 (WHM/cPanel versão 2)

Classificação de severidade

  • CVSS Score: 9.8/10 (Crítico)
  • Tipo: Authentication Bypass (Bypass de Autenticação)
  • Vetor: Remote (Remoto)
  • Complexidade: Baixa – exploração simples
  • Privilégios necessários: Nenhum (atacante não autenticado)

Como verificar se seu Servidor está vulnerável

Administradores de sistema devem:

  1. Verificar a versão do cPanel:
    • Acesse WHM > Server Configuration > Server Information
    • Verifique se a versão é igual ou superior à versão patcheada
  2. Consultar logs de acesso:
    • Verifique /usr/local/cpanel/logs/access_log
    • Procure por acessos suspeitos ao painel administrativo
    • Identifique logins incomuns ou fora do horário normal
  3. Monitorar arquivos modificados:
    • Verifique alterações recentes em diretórios de websites
    • Procure por arquivos PHP suspeitos ou codificados em base64
    • Monitore scripts desconhecidos em pastas públicas

Passos imediatos de mitigação

Para clientes de hospedagem compartilhada

  1. Contate seu provedor imediatamente para confirmar se o patch foi aplicado
  2. Altere todas as senhas (cPanel, FTP, bancos de dados, e-mails)
  3. Verifique seus sites em busca de conteúdo modificado
  4. Revise usuários e permissões no painel de controle
  5. Monitore tráfego para atividades suspeitas

Para administradores de servidores dedicados/VPS

  1. Aplique o patch imediatamente: /scripts/upcp --force
  2. Verifique a versão instalada: /usr/local/cpanel/cpanel -V
  3. Revise logs de autenticação: tail -f /usr/local/cpanel/logs/access_log grep "cpsession" /usr/local/cpanel/logs/*
  4. Implemente firewall de aplicação:
    • Configure ModSecurity
    • Bloqueie IPs suspeitos
    • Limite tentativas de login
  5. Ative autenticação de dois fatores (2FA)
  6. Restrinja acesso por IP:
    • Configure whitelist de IPs confiáveis
    • Bloqueie acesso administrativo de redes não autorizadas

Indicadores de Comprometimento (IoCs)

Administradores devem buscar os seguintes sinais de que seu servidor foi comprometido:

  • Arquivos de ransomware: Arquivos com extensões incomuns ou mensagens de resgate
  • Backdoors PHP: Scripts com funções como base64_decode, eval, exec, system
  • Contas de usuário não autorizadas: Novos usuários FTP ou cPanel desconhecidos
  • Redirecionamentos maliciosos: Código JavaScript injetado em páginas
  • Spam sendo enviado: Aumento incomum no envio de e-mails
  • Alterações no DNS: Modificações não autorizadas em zonas DNS
  • Cron jobs suspeitas: Tarefas agendadas desconhecidas

O que fazer se você foi comprometido

Se você suspeita que seu servidor foi comprometido:

  1. Isole o servidor: Desconecte da rede imediatamente
  2. Preserve evidências: Faça backup dos logs antes de qualquer limpeza
  3. Altere todas as credenciais:
    • Senhas de root/administrador
    • Chaves SSH
    • Senhas de banco de dados
    • Credenciais de FTP
    • Tokens de API
  4. Restaure de backup limpo:
    • Use backups anteriores a 23 de fevereiro de 2026
    • Verifique a integridade dos arquivos restaurados
    • Aplique o patch antes de restaurar
  5. Escaneie em busca de malware:
    • Use ferramentas como ClamAV, Maldet
    • Verifique todos os diretórios públicos
    • Analise bancos de dados em busca de injeções
  6. Notifique afetados: Se dados de clientes foram comprometidos, siga regulamentações locais (LGPD, GDPR)
  7. Considere ajuda profissional: Empresas de resposta a incidentes podem ajudar na investigação

Impacto no mercado de hospedagem

A vulnerabilidade expõe a fragilidade de infraestruturas de hospedagem compartilhada, onde o comprometimento de um único servidor pode afetar milhares de websites simultaneamente.

Especialistas em segurança alertam que:

  • Provedores menores podem não ter aplicado patches rapidamente
  • Servidores desatualizados permanecem vulneráveis
  • O tempo médio de exploração entre divulgação e ataque foi inferior a 24 horas

Recomendações de longo prazo

Para prevenir incidentes futuros:

1. Atualizações Automáticas

Configure atualizações automáticas para cPanel e todos os componentes do servidor.

2. Monitoramento Contínuo

Implemente soluções de detecção de intrusão (IDS) e monitoramento de integridade de arquivos (FIM).

3. Backups Isolados

Mantenha backups em locais fisicamente separados do servidor de produção, com retenção de pelo menos 90 dias.

4. Segmentação de Rede

Isole servidores de diferentes clientes em redes VLAN separadas.

5. Hardening de Segurança

Aplique configurações de segurança reforçada:

  • Desabilite serviços desnecessários
  • Configure fail2ban para bloqueio automático
  • Implemente Web Application Firewall (WAF)
  • Use certificados SSL/TLS em todos os domínios

6. Auditorias Regulares

Realize varreduras de vulnerabilidade trimestrais e testes de penetração anuais.

Contexto mais amplo: Ataques a infraestrutura web

A vulnerabilidade do cPanel ocorre em um período de aumento significativo de ataques cibernéticos contra infraestrutura web. No mesmo período, a Canonical (Ubuntu) enfrentou um ataque DDoS massivo reivindicado por grupos hacktivistas iraniano.

Esses incidentes destacam:

  • A crescente sofisticação de ataques a infraestrutura crítica
  • O impacto geopolítico em operações cibernéticas
  • A necessidade de resiliência em serviços essenciais de internet

Recursos e Referências

  • Advisory Oficial cPanel: support.cpanel.net
  • CISA KEV Catalog: Vulnerabilidade CVE-2026-41940
  • Shadowserver Statistics: Monitoramento em tempo real de servidores vulneráveis
  • NVD (National Vulnerability Database): Detalhes técnicos completos da CVE

Conclusão

A vulnerabilidade CVE-2026-41940 no cPanel representa uma das falhas de segurança mais críticas dos últimos anos para o setor de hospedagem web. Com 550.000 servidores ainda vulneráveis e exploração ativa desde fevereiro, o incidente exige ação imediata de todos os administradores de sistema.

A combinação de facilidade de exploração, impacto catastrófico (controle total do servidor) e distribuição massiva (60 milhões de domínios) torna esta vulnerabilidade uma ameaça de nível máximo.

Ação imediata é essencial: Se você gerencia servidores cPanel, aplique o patch agora. Se você é cliente de hospedagem, contate seu provedor imediatamente para confirmar se está protegido.

A janela de oportunidade para os atacantes está se fechando conforme mais servidores são patcheados, mas cada sistema não atualizado permanece uma porta aberta para comprometimento total.

Carlos Araújo

Carlos Araújo

Especialista em tecnologia e fundador da SuaInternet.COM. Com sólida experiência em desenvolvimento de software e inteligência artificial, dedica-se a criar soluções de alta performance e sites otimizados que conectam marcas a resultados. Entusiasta de sistemas Linux e automação, partilha aqui análises técnicas e tendências do ecossistema digital.

Tags:

#cPanel#CVE-2026-41940#hackers#Vulnerabilidade#WHM

Artigos Relacionados