Multi-aktor napad: rudarenje kripto, backdoor, botnet i credential krađa sve paralelno na istim žrtvama
CVE-2026-41940 je authentication bypass ranjivost u cPanel i WebHost Manager (WHM) platformi najraširenijem web hosting control panel sustavu na internetu koji pokreće milijune hosting servera diljem svijeta. Ranjivost ima CVSS score 9.8 (critical) i omogućuje neautentificiranom udaljenom napadaču da zadobije root pristup bez ikakvih kredencijala. cPanel je objavio zakrpu 28. travnja 2026., ali je ranjivost bila exploitana kao zero-day otprilike dva mjeseca ranije što znači da su napadači imali slobodan prolaz kroz ranjive sustave dok patch nije bio dostupan.
Shadowserver Foundation bilježi 44.000+ kompromitiranih IP adresa. CISA je dodala CVE-2026-41940 u Known Exploited Vulnerabilities katalog 1. svibnja. QiAnXin XLab je objavio najdetaljniju analizu napadačkog lanca od 12. svibnja: napadači koji uspješno eksploatiraju ranjivost prolaze kroz standardizirani automatizirani attack sequence koji je gotovo identičan na svim žrtvama. Root lozinka mijenja se na "123Qwe123C", SSH javni ključ napadača se instalira za perzistentni pristup, PHP webshell se deployira za file management i remote command execution, JavaScript kod se injektira u login stranicu za krađu kredencijala koji se šalju napadaču kodirani ROT13 cipherom, i naposljetku se instalira cross-platform backdoor koji funkcionira na Windows, macOS i Linux sustavima.
Što je posebno zabrinjavajuće jest višestrukost napadača koji koriste isti CVE paralelno i za različite svrhe. Jedna skupina deployira "Sorry" ransomware koji kriptira fajlove i dodaje .sorry ekstenziju, traži otkupninu u BTC. Druga skupina rudaruje kriptovalute. Treća instalira botnet agente. Četvrta krade kredencijale za daljnju prodaju na dark webu. Ovo nije koordinirani napad jedne grupe to je "attack surface gold rush" u kojemu je ista ranjivost istovremeno monetizirana na sve moguće načine.
Censys je na javno izloženim direktorijima identificirao 8.859 hostova s fajlovima koji završavaju na ".sorry" od kojih 7.135 radi cPanel ili WHM. Ovo je konzervativna procjena jer mnogi napadači ne ostavljaju vidljive tragove. Za webhosting pružatelje i SME koji hostaju vlastite web stranice na cPanel/WHM infrastrukturi, imperativ je: provjera je li instalirano zakrpanje od 28. travnja, audit SSH authorized_keys fajlova, pregled web access logova za neobičan POST promet na /cpsess* endpointe, i provjera integriteta PHP fajlova na serveru.
CVE-2026-41940 je authentication bypass ranjivost u cPanel i WebHost Manager (WHM) platformi najraširenijem web hosting control panel sustavu na internetu koji pokreće milijune hosting servera diljem svijeta. Ranjivost ima CVSS score 9.8 (critical) i omogućuje neautentificiranom udaljenom napadaču da zadobije root pristup bez ikakvih kredencijala.
U digitalnoj ekonomiji podatci imaju konkretnu vrijednost. Tvrtke ih koriste za profiliranje korisnika, ciljanje oglasa, predviđanje ponašanja i grupiranje prema interesima. Ako do njih dođu zlonamjerni akteri, mogu ih iskoristiti za prevare, krađu identiteta i lažno predstavljanje. U nekim slučajevima mogu dobiti i pristup vašim korisničkim računima i uslugama.
Amazonova cloud jedinica prijavila je poremećaj u jednoj zoni podatkovnog centra u sjevernoj Virginiji. Problem je bio povezan s povećanjem temperature u objektu i nedostatnom rashladnom snagom dok dodatni kapacitet nije vraćen u rad. Coinbase je izravno povezao degradaciju vlastite platforme s AWS-ovim kvarom, dok je CME prijavio tehničke i latencijske poteškoće. To ovoj vijesti daje težinu koja nadilazi dnevni ritam objava.
