ثغرة خطيرة فـ cPanel (CVE-2026-41940) كيستغلها Mr_Rot13 باش ينشر باب خلفي (backdoor) سميتو Filemanager

خلاصة — فاعل التهديد Mr_Rot13 كيستغل حاليا ثغرة CVE-2026-41940، لي هي ثغرة خطيرة ديال تجاوز المصادقة (authentication bypass) فـ cPanel و WebHost Manager، باش ينشر باب خلفي (backdoor) خدام فبزاف ديال الأنظمة سميتو Filemanager. كثر من 2000 عنوان IP ديال مهاجمين من العالم كامل مشاركين فهاد الاستغلال الآلي. هاد الهجمة كتجمع بين زرع مفاتيح SSH، و web shells مكتوبين بـ PHP، وسرقة بيانات اعتماد باش يضمنو وصول دائم فبيئات الاستضافة لي تخترقات.

شنو وقع

وثقو باحثين فـ QiAnXin XLab استغلال نشيط لثغرة CVE-2026-41940 من طرف فاعل التهديد Mr_Rot13 ومهاجمين خرين، شي لي جا من بعد ما تم الإعلان على هاد الثغرة للعموم. هاد الخلل كيسمح بتجاوز المصادقة وكيعطي لمهاجمين عن بعد تحكم بصلاحيات عالية فلوحات التحكم ديال cPanel و WebHost Manager.

سلسلة الاستغلال كتبدا بـ shell script لي كيتيليشارجي infector مبرمج بـ Go من cp.dene.[de[.]com باستعمال wget ولا curl. غير كيتم التنفيذ ديالو، هاد الـ infector كيزرع مفتاح SSH عمومي (public key) فـ cPanel لي تخترق باش يضمن وصول SSH دائم. فنفس الوقت، كيحط PHP web shell لي كيسمح برفع وتنزيل الملفات وتنفيذ الأوامر عن بعد.

هاد الـ PHP web shell كيحقن كود JavaScript باش يبين صفحة تسجيل دخول (login) معدلة، الهدف ديالها هو تسرق بيانات اعتماد ديال الـ administrator. هاد البيانات لي تسرقات كتصيفط لـ wrned[.]com وكيدار ليها تشفير باستعمال ROT13 obfuscation. من بعد سرقة بيانات اعتماد، الهجمة كتكمل باش تنشر Filemanager، لي هو باب خلفي (backdoor) قادر يخترق أنظمة Windows، macOS، و Linux. فالاختراقات لي حللوها XLab، كيتم تنزيل Filemanager عن طريق shell script كيتجاب من wpsock[.]com.

هاد الباب خلفي (backdoor) كيجمع بيانات حساسة من الخوادم المخترقة، بحال bash history، بيانات جلسات SSH، معلومات على الجهاز، كلمات المرور ديال قواعد البيانات، و virtual aliases (valiases) ديال cPanel. هاد المعلومات لي كتجمع كتصيفط لـ group فـ Telegram فيه تلاتة ديال الأعضاء، وكيسيرو واحد المستخدم مسمي راسو "0xWR".

على حساب بيانات المراقبة ديال XLab، كثر من 2000 عنوان IP ديال مهاجمين كيشاركو حاليا فهجمات آلية كتستهدف CVE-2026-41940. هاد الـ IPs جابين أساسا من ألمانيا، الولايات المتحدة، البرازيل، هولندا، ومناطق خرى فالعالم. التقرير كينسب أنشطة خبيثة بحال تعدين العملات الرقمية، نشر ransomware، انتشار الـ botnets، وزرع باب خلفي (backdoor) للاستغلال ديال هاد الثغرة، وخا التقرير ما كيحددش بالضبط اشمن أنشطة تابعة لـ Mr_Rot13 بوحدو مقارنة مع فاعلي التهديد لخرين.

Mr_Rot13 بقا مخبي وماكيبانش بزاف فمشهد التهديدات لمدة قريبة لست سنين. XLab لاحظو باللي النطاق (domain) ديال القيادة والتحكم (C2) لي مخبي فكود JavaScript ديال الهجمة الحالية، تخدم من قبل فـ PHP backdoor (helper.php) ترفع لـ VirusTotal فشهر أبريل 2022. سجلات تسجيل النطاق كتبين باللي تسجل لأول مرة فأكتوبر 2020.

علاش هادشي مهم

بالنسبة لشركات الاستضافة، مطورين، ومديري الأنظمة والمواقع فالمغرب ومنطقة الشرق الأوسط وشمال إفريقيا (MENA)، هاد الثغرة كتمثل خطر تشغيلي مباشر. أي تثبيت ديال cPanel ولا WHM مافيهش ترقيع هو نقطة دخول محتملة لزرع باب خلفي (backdoor) دائم. سلسلة الهجوم لي فيها مراحل متعددة — لي كتبدا من تجاوز المصادقة وتثبيت مفتاح SSH، حتى لجمع بيانات اعتماد ونشر باب خلفي متعدد الأنظمة — كتبين نموذج تهديد متطور مصمم باش يصمد قدام إعادة تشغيل النظام وتغييرات الحسابات.

التورط ديال كثر من 2000 IP للمهاجمين كيدل على نشاط واسع وآلي ديال المسح (scanning) والاستغلال. المؤسسات لي خدامة بـ cPanel خاصها تتوقع ضغط مستمر ديال الفحص إيلا بقاو الأنظمة ديالهم بلا ترقيع. المكون ديال وصول SSH الدائم مهم بزاف: غير كيتزرع مفتاح SSH عمومي، كيبقى المهاجم محتفظ بالدخول واخا تتبدل بيانات الاعتماد ديال اللوحة ولا كدار إعادة تعيين لكلمات المرور، وهادشي كيصعب احتواء المشكل واستعادة النظام (recovery).

تسريب valiases ديال cPanel، كلمات مرور قواعد البيانات، وبيانات SSH كيخلي المهاجم يقدر يتحرك أفقيا (lateral movement) للأنظمة لخرى لي كتسير من خلال اللوحة المخترقة. بيئات الاستضافة لي فيها بزاف ديال حسابات الكليان كتواجه خطر اختراق متسلسل (cascading compromise). النسبة القليلة ديال الاكتشاف على مدى ست سنين من عمليات Mr_Rot13 كتوحي باللي الدفاعات المبنية على الـ signatures يقدر ما تكونش كافية؛ وهادشي كيخلي الاكتشاف السلوكي (behavioral detection) والمراقبة ديال الشبكة حاجة ضرورية.

الأنظمة المتضررة و CVEs

• cPanel — CVE-2026-41940
• WebHost Manager (WHM) — CVE-2026-41940

أرقام الإصدارات (versions) المحددة ديال cPanel و WHM المتضررة بـ CVE-2026-41940 ما مذكوراش فالتقرير.

شنو خاصنا نديرو

• تطبيق ترقيعات بالزربة — ديرو ترقيع (patching) لـ CVE-2026-41940 فكاع أنظمة cPanel و WebHost Manager. وتأكدو من تطبيق هاد التحديث فكاع البنية التحتية ديال الاستضافة.

• مراجعة مفاتيح SSH الحالية — راجعو مفاتيح SSH العمومية (authorized keys) فكاع أنظمة cPanel، خصوصا المفاتيح ديال مستوى النظام (system-level). حيدو أي مفتاح مشبوه ولا مامعروفش.

• القلب على web shells — قلبو فالنظام ديال الملفات على ملفات PHP لي كتشبه فسميتها لـ helper.php أو أي web shell ملفات خرى مشبوهة. ركزو على المجلدات لي كيوصل ليهم cPanel و document roots.

• مراقبة الاتصالات فالشبكة — حبسو الترافيك الخارج (outbound traffic) لي غادي للـ domains ديال C2 المعروفين، خصوصا wrned[.]com، cp.dene.[de[.]com، و wpsock[.]com. وراجعو سجلات (logs) الجدار الناري (firewall) باش تشوفو واش كاينين محاولات اتصال بهاد المجالات.

• مراجعة سجلات الدخول (access logs) — راجعو الـ logs ديال cPanel و Apache/Nginx، وسجلات المصادقة ديال SSH باش تقلبو على أي رفع ملفات مامصرحش به، تنفيذ أوامر، ولا محاولات تسجيل دخول من عناوين IP مامعروفاش، خصوصا لي جاية من ألمانيا، ميريكان، البرازيل، وهولندا.

• القلب على زرع مفاتيح SSH دائم — تأكدو من ملف /root/.ssh/authorized_keys والمجلدات .ssh ديال المستخدمين باش تقلبو على أي مفاتيح تزادو من بعد ما تم الإعلان للعموم على الثغرة.

• مراقبة الاتصالات بـ Telegram — إيلا كان ممكن فبيئة الأمن ديالكم، راقبو باش تلقاو أي مؤشرات ديال الاتصال الخارجي بـ API ديال Telegram، لي يقدر يدل على تسريب نشيط للبيانات.

• عزل بيئات الاستضافة — عزلو الأنظمة المخترقة على قواعد البيانات لي خدامة (production) والبنية التحتية لخرى، حتى تكملو التحليل الجنائي (forensic analysis).

أسئلة باقة مطروحة

• المصدر ما كيحددش اشمن نسخ ديال cPanel و WHM المتضررة بـ CVE-2026-41940، ولا واش الترقيعات خرجات حتى لتاريخ التقرير.

• مامعروفش واش العمليات ديال تعدين العملات الرقمية، ransomware، ونشر botnets المنسوبة لاستغلال ثغرة CVE-2026-41940 هي أنشطة ديال Mr_Rot13 بالضبط ولا نف