Multi-aktor napad: rudarenje kripto, backdoor, botnet i credential krađa sve paralelno na istim žrtvama
CVE-2026-41940 je authentication bypass ranjivost u cPanel i WebHost Manager (WHM) platformi najraširenijem web hosting control panel sustavu na internetu koji pokreće milijune hosting servera diljem svijeta. Ranjivost ima CVSS score 9.8 (critical) i omogućuje neautentificiranom udaljenom napadaču da zadobije root pristup bez ikakvih kredencijala. cPanel je objavio zakrpu 28. travnja 2026., ali je ranjivost bila exploitana kao zero-day otprilike dva mjeseca ranije što znači da su napadači imali slobodan prolaz kroz ranjive sustave dok patch nije bio dostupan.
Shadowserver Foundation bilježi 44.000+ kompromitiranih IP adresa. CISA je dodala CVE-2026-41940 u Known Exploited Vulnerabilities katalog 1. svibnja. QiAnXin XLab je objavio najdetaljniju analizu napadačkog lanca od 12. svibnja: napadači koji uspješno eksploatiraju ranjivost prolaze kroz standardizirani automatizirani attack sequence koji je gotovo identičan na svim žrtvama. Root lozinka mijenja se na "123Qwe123C", SSH javni ključ napadača se instalira za perzistentni pristup, PHP webshell se deployira za file management i remote command execution, JavaScript kod se injektira u login stranicu za krađu kredencijala koji se šalju napadaču kodirani ROT13 cipherom, i naposljetku se instalira cross-platform backdoor koji funkcionira na Windows, macOS i Linux sustavima.
Što je posebno zabrinjavajuće jest višestrukost napadača koji koriste isti CVE paralelno i za različite svrhe. Jedna skupina deployira "Sorry" ransomware koji kriptira fajlove i dodaje .sorry ekstenziju, traži otkupninu u BTC. Druga skupina rudaruje kriptovalute. Treća instalira botnet agente. Četvrta krade kredencijale za daljnju prodaju na dark webu. Ovo nije koordinirani napad jedne grupe to je "attack surface gold rush" u kojemu je ista ranjivost istovremeno monetizirana na sve moguće načine.
Censys je na javno izloženim direktorijima identificirao 8.859 hostova s fajlovima koji završavaju na ".sorry" od kojih 7.135 radi cPanel ili WHM. Ovo je konzervativna procjena jer mnogi napadači ne ostavljaju vidljive tragove. Za webhosting pružatelje i SME koji hostaju vlastite web stranice na cPanel/WHM infrastrukturi, imperativ je: provjera je li instalirano zakrpanje od 28. travnja, audit SSH authorized_keys fajlova, pregled web access logova za neobičan POST promet na /cpsess* endpointe, i provjera integriteta PHP fajlova na serveru.
Microsoft i Palo Alto pokazuju kako AI ulazi u traženje ranjivosti prije napadača nije samo još jedna objava iz globalnog tehnološkog ciklusa, nego signal smjera u kojem se security tržište razvija u idućem razdoblju.
Google je početkom lipnja započeo gradnju novog podatkovnog centra u Horndalu, u švedskoj pokrajini Dalarna, čime je nakon višegodišnjeg planiranja i pripreme otvorena nova faza njegova infrastrukturnog širenja u Europi. Objekt u općini Avesta bit će prvi Googleov podatkovni centar u Švedskoj koji kompanija sama razvija, posjeduje i njime upravlja, što ga razlikuje od ranije pokrenute Google Cloud regije u toj zemlji. Time se Googleova prisutnost u Švedskoj pomiče s razine cloud usluga i komercijalne dostupnosti prema dubljoj fizičkoj infrastrukturi.
Kako organizacije agentima povjeravaju sve više zadataka, od rada s kodom i dokumentima do pristupa internim servisima i automatizacije poslovnih procesa, vjerodajnice postaju najosjetljiviji sloj cijelog novog AI radnog toka.
