Hakeri iskoristili cPanel ranjivost za pristup vojnim serverima u Jugoistočnoj Aziji
Napadači su iskoristili cPanel ranjivost CVE-2026-41940 za pristup vojnim serverima u Aziji i eksfiltraciju 4GB kineskih železničkih dokumenata.
Šta se desilo?
Napredna grupa napadača je iskoristila kritičnu ranjivost u cPanel softveru (CVE-2026-41940) kako bi prodirala u vladine i vojne servere u Jugoistočnoj Aziji. Nakon inicijalnog pristupa preko cPanel-a, napadači su se lateralno kretali kroz mrežu, iskoristili custom zero-day exploit za indonezijski portal i na kraju ukrali preko 4 gigabajta osetljivih dokumenata povezanih sa kineskom železnicom. Operacija je otkrila sofisticirani lanac napada koji kombinuje javnu i nepoznatu ranjivost.
Koga pogađa?
Žrtve uključuju vladine i vojne institucije u Jugoistočnoj Aziji, kao i organizacije koje čuvaju osjetljive podatke sa kineske železničke infrastrukture. Napadi su posebno ozbiljni za sve entitete koji koriste cPanel/WHM za upravljanje serverima i dostavljačima hosting usluga. Ugroženi su i korisnici koji koriste sisteme sa PostgreSQL bazama podataka gde nije ažurna zaštita.
Kako se zaštititi?
- Odmah ažurirajte cPanel/WHM na najnoviju verziju koja sadrži zakrpu za CVE-2026-41940
- Pregledajte logove servera tražeći znakove CRLF injekcija u login i session procesima, posebno anomalije u whostmgrsession kolačicima
- Onemogućite direktan pristup PostgreSQL servisu sa interneta i restringirajte pristup samo neophodnim portovima
- Implementirajte stroge kontrole pristupa dokumentima i sanitizujte sve korisnike unose pre nego što se proslede bazi podataka
- Instalujte Web Application Firewall (WAF) koji detektuje SQL injection pokušaje
- Monitorujte neobične procese, posebno pokušaje izvršavanja shell komandi iz baze podataka
- Pregledate sve administratorske account-e i session-e za znakove neovlascenog pristupa
- Implementirajte logging i monitoring svih operacija izvršenih iz baze podataka
Tehnički detalji
Ranjivost CVE-2026-41940 je kritična sa CVSS skorom 9.8 i pogađa sve verzije cPanel/WHM nakon v11.40. Eksploatacija se zasniva na CRLF injekciji u login i session-loading procesima koja dozvoljava unauthenticated napadaču da manipuliše whostmgrsession kolačićem i dobije root-level administrativni pristup bez validnih kredencijala. Izveštaji potvrđuju da je ova ranjivost bila aktivno eksploatisana u divljem svetu pre nego što je cPanel izdao zakrpu 28. aprila 2026. CISA ju je dodao u katalog poznatih eksploatisanih ranjivosti.
Sekundarni deo napada je uključio SQL injection kroz document-name polje na indonezijskom portalu odbrane, koji je eskaliran u RCE koriščenjem PostgreSQL COPY ... TO PROGRAM komande. Custom exploit skript exploit_siak_bahasa.py (SHA-256: 974E272AD1DC7D5AADC3C7A48EC00EB201D04BA59EC5B0B17C2F8E9CD2F9C9CD) je sadržavao vietnamske komentare, što islednici smatraju mogućim zavaravanjem.
Za Command & Control, napadač je koristio AdaptixC2 payload (ELF binarna datoteka 1, SHA-256: 1CFEADF01D24182362887B7C5F683E8BDB0E84CDDCE03E3B7564B2D9AB5D15CF) konfigurisan da komunicira sa delicate-dew.serveftp[.]com:4455 (IP 95.111.250[.]175). Za persistenciju, kombinovani su OpenVPN (95.111.250[.]175:1194/UDP) i Ligolo proxy agent (/usr/local/bin/.netmon/) maskirani kao systemd servis systemd-update.service.
Indikatori kompromitovanja (IoCs): IP adresa 95.111.250[.]175, domen delicate-dew.serveftp[.]com, datoteke init.ps1 (SHA-256: 64674342041873DBB18B1DD9BB1CA391AF85B5E755DEFFB4C1612EF668349325) i exfil_docs_v2.sh (SHA-256: 734F0D04DC2683E19E629B8EC7F55349B5BCFF4EB4F2F36F6ADBBDE1C023A24F).
Preporuka Sajber Radara
Sve organizacije koje koriste cPanel/WHM moraju odmah primeniti zakrpu i detaljno pregledati logove servera za znakove neovlascenog pristupa. Dodatno, preporučujemo pregled svih administratorskih naloga, proveru PostgreSQL logova za anomalije i implementaciju dodatnih sigurnosnih slojeva na svim kritičnim portalima koji sadrže osjetljive podatke.