استغلال نشط لثغرة حرجة فـ cPanel (CVE-2026-41940) ضد حكومات وشبكات MSPs فجنوب شرق آسيا
Critical cPanel Vulnerability Weaponized to Target Government and MSP Networks
استغلال نشط لثغرة حرجة فـ cPanel (CVE-2026-41940) ضد حكومات وشبكات MSPs فجنوب شرق آسيا
خلاصة: واحد فاعل التهديد مازال مجهول استغل ثغرة CVE-2026-41940، لي هي ثغرة تخطي المصادقة (authentication bypass) حرجة فـ cPanel و WHM، باش يستهدف نطاقات حكومية وعسكرية فالفلبين ولاوس، زيد عليها مقدمي الخدمات المدارة (MSPs) وشركات الاستضافة فبزاف دالبلدان. هاد الثغرة تخدمات كسلاح من طرف بزاف ديال المهاجمين فقل من 24 ساعة من بعد الإعلان عليها، وتأكد باللي على الأقل 44 ألف عنوان IP بينات علامات الاختراق حتى لـ 30 أبريل 2026. المؤسسات لي كتخدم بـ cPanel خاصها تطبق الترقيع فورا وتقلب على مؤشرات الاختراق (indicators of compromise).
شنو وقع
نهار 2 ماي 2026، فريق Ctrl-Alt-Intel رصد استغلال نشط للثغرة CVE-2026-41940 جاي من عنوان الـ IP 95.111.250.175. هاد الحملة استهدفت جهات حكومية وعسكرية فجنوب شرق آسيا — وبالضبط نطاقات فالفلبين (*.mil.ph و *.ph) ولاوس (*.gov.la) — إلى جانب مقدمي الخدمات المدارة والبنية التحتية ديال الاستضافة فالفلبين، لاوس، كندا، جنوب إفريقيا، وميريكان. المهاجم خدم بـ proof-of-concept عام باش يدير الموجة الأولى ديال الاختراق.
قبل هاد الاستغلال ديال cPanel، نفس فاعل التهديد نفذ سلسلة استغلال مخصصة ضد بوابة تدريب تابعة لقطاع الدفاع الإندونيسي. هاد الهجوم جمع بين حقن SQL وتنفيذ التعليمات البرمجية عن بعد (RCE) بمصادقة؛ حيت المهاجم كان ديجا عندو بيانات اعتماد صحيحة للنظام المستهدف. السكريبت ديال الاستغلال تخطى حماية CAPTCHA ديال البوابة عن طريق استخراج قيمة الـ CAPTCHA المطلوبة من ملفات تعريف الارتباط (session cookies) لي كيعطيها السيرفر عوض ما يحل اللغز، ومن بعد حقن SQL فالحقل ديال إسم الوثيقة ملي صيفط طلب لـ document-save endpoint.
غير دخلو للشبكات المخترقة، فاعل التهديد أسس وصول دائم (persistence) باستخدام إطار القيادة والتحكم (C2) لي سميتو AdaptixC2، و OpenVPN، و Ligolo، وآليات systemd. انطلاقا من الاختراق ديال البوابة الإندونيسية، قدر المهاجم يتحرك داخليا ويسرب مجموعة كبيرة ديال الوثائق المتعلقة بقطاع السكك الحديدية الصيني.
التحويل لسلاح بشكل أوسع جا بالزربة: شركة Censys لقات دليل باللي كاينين فاعلي تهديد آخرين بداو كيستغلو ثغرة CVE-2026-41940 فقل من 24 ساعة بعد الإعلان الشامل. هاد الحملات الثانوية نشرات نسخ من شبكة البوتات Mirai وواحد السلالة ديال ransomware سميتها Sorry.
البيانات ديال مؤسسة Shadowserver كاتبين باللي كاين على الأقل 44 ألف عنوان IP لي بان فيهم الاختراق عبر CVE-2026-41940 شاركو فهجمات المسح (scanning) وهجمات القوة الغاشمة (brute-force) ضد الـ honeypots ديال Shadowserver نهار 30 أبريل 2026. هاد الرقم نزل لـ 3,540 بحلول 3 ماي 2026.
علاش هادشي مهم
ثغرة CVE-2026-41940 كتعطي لمهاجمين عن بعد، بلا ما يحتاجو بيانات اعتماد، تحكم واسع فلوحات التحكم ديال cPanel و WHM. بالنسبة لشركات الاستضافة، الـ MSPs، والمؤسسات لي مخدمة cPanel، هادشي كيعني وصول مباشر لواجهات إدارة السيرفر بلا تحقق من الهوية. السرعة باش تحولات هاد الثغرة لسلاح — فـ 24 ساعة — كتبين الخطورة وسهولة الاستغلال ديالها. الاستهداف ديال البنيات التحتية الحكومية والعسكرية فجنوب شرق آسيا كيرفع من مستوى الخطر على الأنظمة الحساسة فالمنطقة. النشر الثانوي للنسخ ديال Mirai و ransomware كيشير لكون المهاجمين العاديين حتى هما كيستعملو هاد الثغرة باش يوسعو شبكات الـ botnets ويبتزو الضحايا.
بالنسبة لفرق الـ SOC ومسؤولي الأنظمة فمنطقة الشرق الأوسط وشمال إفريقيا (MENA) والمناطق المجاورة، هاد الثغرة خاص تعطى ليها الأولوية فورا. أي نسخة ديال cPanel أو WHM قادرة توصل لشبكات غير موثوقة راها فخطر. التكتيكات ديال الاستمرارية لي بانت فالتقارير (systemd، أدوات tunneling، و C2 مخصص) كتعني أن عمليات الرصد خاصها تفوت العلامات الأولية ديال الاختراق وتشمل حتى أنماط التحرك الجانبي (lateral movement) وتسريب البيانات.
الأنظمة المتضررة و CVEs
- أنظمة cPanel و WebHost Manager (WHM): ثغرة CVE-2026-41940
شنو المعمول
- طبق الترقيع ديال ثغرة CVE-2026-41940 فأقرب وقت ممكن.
- استعمل السكريبت المحدث ديال cPanel لي كيكتشف الأنظمة المخترقة باش تقلل من الإشعارات الغالطة (false positives).
- دير مسح للأنظمة والشبكات باش تقلب على مؤشرات الاختراق، ونقي البيئات المتضررة فورا.
- راقب آليات الاستمرارية: خدمات systemd، إعدادات OpenVPN، عمليات Ligolo، والتواصل مع AdaptixC2.
- راجع سجلات المصادقة (authentication logs) وجلسات الاتصال فنسخ cPanel باش تلقى أي وصول غير مصرح بيه خلال الفترة ما بين 28 أبريل و 3 ماي 2026.
أسئلة باقة مطروحة
- الهوية ديال فاعل التهديد الرئيسي لي ورا هاد الحملة باقة مجهولة.
- العدد الإجمالي ديال الضحايا المخترقين عبر ݣاع الأهداف ما تذكرش.
- النطاق الكامل ديال تسريب البيانات من غير وثائق السكك الحديدية الصينية باقي مامعروفش.
- الوضع الحالي ديال المعالجة والترقيع فالمؤسسات الحكومية، العسكرية، والتجارية المتضررة فالمنطقة ماتذكرش.
- المدى ديال الوصول للشبكة والاستمرارية لي حققها فاعل التهديد فالبنيات التحتية المخترقة مامحددش بشكل كامل.
Source
Critical cPanel Vulnerability Weaponized to Target Government and MSP Networks
