文章总结： 某威胁组织正利用cPanel高危漏洞CVE-2026-41940对东南亚政府、军事机构及多国托管服务商发起定向攻击。该身份认证绕过漏洞允许攻击者无需密码即可登录控制面板，结合SQL注入、远程代码执行及AdaptixC2木马实施数据窃取，已盗取中国铁路行业4.37GB敏感数据。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,威胁情报,数据泄露,网络安全

黑客利用高危 cPanel 漏洞 CVE-2026-41940，定向攻击政府机构与托管服务提供商（MSP）

鹏鹏同学 鹏鹏同学

黑猫安全

2026年5月6日 08:56 湖北

在小说阅读器读本章

去阅读

某威胁组织正利用cPanel 高危漏洞 CVE-2026-41940，定向攻击东南亚各国政府及军事机构，同时将菲律宾、老挝、加拿大、南非等国的托管服务提供商（MSP）与主机服务商列为目标。此次攻击凸显新晋公开漏洞正被快速武器化。

cPanel 是应用广泛的虚拟主机控制面板，用户可通过图形界面管理网站与服务器，无需使用命令行工具。

CVE-2026-41940 是一处身份认证绕过漏洞，影响 11.40 版本之后的 cPanel 与 WHM。登录流程存在安全缺陷，远程攻击者可绕过或篡改身份校验环节，无需有效账号密码即可登入控制面板。攻击者可借此篡改主机配置、窃取敏感数据，甚至完全接管服务器。网络安全厂商 watchTowr 于上周率先披露该漏洞，并发布检测工具，帮助企业自查资产中的受影响主机。

watchTowr 在安全公告中表示：“正如前文所述，据 KnownHost 披露，该漏洞已出现在野利用行为。为此我们发布检测特征生成工具，便于安全人员排查内部受险资产。”

影子服务器基金会（Shadowserver Foundation）监测数据显示，全球已有数千台 cPanel 实例暴露在风险中。

2026 年 5 月 2 日，安全研究机构 Ctrl-Alt-Intel 监测到针对 CVE-2026-41940 的实际攻击活动。相关攻击源自 IP 地址 95.111.250 [.] 175，利用公开概念验证脚本（watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py、check_session.py），瞄准菲律宾、老挝的政府及军事域名，以及多地托管服务商与主机服务商。

Ctrl-Alt-Intel 发布报告称：“2026 年 5 月 2 日，我方发现一台暴露在外的攻击者跳板服务器，可直观观测其攻击行动。通过该基础设施，我们监测到未知威胁组织交互式入侵东南亚政府与军事机构，同时小规模针对菲律宾、老挝、加拿大、南非及美国的托管服务与主机服务商发起攻击。”

同一威胁组织还针对印尼国防培训门户定制漏洞利用链，在获取有效账号权限后，组合利用 SQL 注入与远程代码执行漏洞实施攻击。

泄露数据溯源显示，该组织不仅针对印尼国防培训门户定制攻击链，此前还曾窃取中国铁路行业相关数据。被盗数据主要涉及中国铁道学会电气化专业委员会及相关机构，涵盖铁路基建技术资料、组织架构信息及关联科研网络人员敏感信息。

研究人员指出，利用 cPanel 漏洞只是该攻击者活动的一部分。攻击者针对印尼国防培训门户自研攻击链，凭借合法账号，通过读取会话 Cookie 值绕过人机验证。

攻击者在文档字段中植入 SQL 注入语句，并借助 PostgreSQL 数据库提权实现远程代码执行，可执行系统命令、读取服务器文件，并通过业务应用外传数据。研究人员还检出 AdaptixC2 恶意程序载荷，证实攻击者已建立常态化命令与控制通道。

对泄露攻击载荷分析发现：攻击者采用 AdaptixC2 作为远控木马，搭配 PowerShell 反向后门；通过 OpenVPN、Ligolo 搭建持久化内网隧道与跳板链路，实现内网横向渗透；并通过自定义 Linux 服务维持长期驻留权限。

该组织后续横向渗透进入国内相关网络，对接内部业务系统，利用脚本批量窃取数据，共计盗取约 110 份文件、数据体量达4.37GB，包含铁路电气化技术文档、身份证、银行卡信息、手机号等敏感个人资料。整体攻击行动融合远控指挥、隐蔽驻留、内网跳板、定向数据窃取全链路战术。

Ctrl-Alt-Intel 暂未将此次攻击归因至特定组织或国家。虽然攻击脚本和工具中出现越南语注释，但不具备可靠溯源价值，疑似攻击者刻意伪造，用以误导分析人员、掩盖真实归属。

报告总结称：“我方暂不做确定性溯源，但从受害目标画像、入侵后横向渗透手法及窃取数据属性来看，此次活动远非普通随机刷漏洞行为。攻击者定向针对东南亚军事与政务基础设施，并已确认盗取中国交通行业核心资料，符合区域性大规模情报搜集行动特征。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《黑客利用高危 cPanel 漏洞 CVE-2026-41940，定向攻击政府机构与托管服务提供商（MSP）》