Lỗ hổng CVE CVE-2026-41940 đang ảnh hưởng trực tiếp đến máy chủ cPanel và WebHost Manager (WHM), với điểm CVSS 9.8. Đây là một lỗ hổng CVE xác thực bỏ qua cho phép kẻ tấn công từ xa chưa xác thực chiếm quyền quản trị trên hệ thống bị ảnh hưởng.
Lỗ hổng CVE-2026-41940 và mức độ ảnh hưởng
Vulnerability này cho phép remote attackers vượt qua cơ chế xác thực mà không cần tên đăng nhập hoặc mật khẩu. Khi khai thác thành công, đối tượng tấn công có thể giành quyền administrator trên máy chủ mục tiêu và tiến hành xâm nhập trái phép vào môi trường Linux đang chạy cPanel/WHM.
Theo thông tin công bố, lỗ hổng CVE này đã bị vũ khí hóa dưới dạng zero-day exploit và được sử dụng trong các chiến dịch triển khai mã độc ransomware, cryptominer và backdoor. Tham khảo thêm tại NVD.
Cơ chế khai thác
Chuỗi tấn công bắt đầu khi kẻ tấn công khai thác CVE-2026-41940 để bỏ qua xác thực. Sau đó, chúng có thể thực thi thao tác quản trị trên máy chủ mà không cần thông tin đăng nhập hợp lệ. Đây là một cảnh báo CVE nghiêm trọng vì tác động trực tiếp đến tính toàn vẹn và quyền kiểm soát hệ thống.
Ngay sau khi giành quyền truy cập, đối tượng tấn công triển khai một công cụ injector viết bằng Go có tên Payload. Mã nguồn và phong cách ghi log của công cụ này được cho là có dấu hiệu được tạo bởi AI.
Hành vi sau khai thác
Sau khi thực thi, injector sẽ thay đổi mật khẩu root của máy chủ và cài thêm SSH public key độc hại để duy trì quyền truy cập lâu dài. Đây là dấu hiệu điển hình của hệ thống bị xâm nhập với mục tiêu duy trì persistence.
Tiếp theo, kẻ tấn công thả một PHP webshell tùy chỉnh có tên Cpanel-Python. Webshell này chèn JavaScript độc hại vào trang đăng nhập tùy biến của máy chủ để đánh cắp:
- Thông tin đăng nhập của người dùng.
- User-Agent của trình duyệt.
- URL đang truy cập.
Dữ liệu bị đánh cắp được gửi về máy chủ C2 từ xa thông qua một yêu cầu AJAX. Đây là cơ chế thu thập dữ liệu bị lộ có tính tự động và khó phát hiện nếu không theo dõi lưu lượng bất thường.
Lỗ hổng CVE bị khai thác trong chiến dịch xâm nhập mạng
Phân tích tình báo mối đe dọa cho thấy hoạt động khai thác đã tăng mạnh sau khi thông tin được công bố công khai vào cuối tháng 4 năm 2026. Hơn 2.000 IP duy nhất đã tham gia quét và khai thác trên phạm vi toàn cầu, chủ yếu từ Hoa Kỳ, Đức, Brazil và Hà Lan.
Điều này cho thấy lỗ hổng CVE không chỉ là rủi ro lý thuyết mà đã trở thành mục tiêu của hoạt động tấn công mạng quy mô lớn, có tính tự động hóa cao. Các hệ thống chưa vá lỗi có nguy cơ cao bị chiếm quyền điều khiển.
Ảnh hưởng đối với hệ thống
Khi hệ thống bị tấn công, kẻ tấn công có thể thực hiện các hành động sau:
- Thiết lập quyền quản trị trái phép.
- Cài backdoor SSH để truy cập lâu dài.
- Triển khai webshell trên máy chủ web.
- Đánh cắp cấu hình máy chủ và thông tin cơ sở dữ liệu.
- Phát tán mã độc ransomware hoặc cryptominer.
Trong bối cảnh này, lỗ hổng CVE đóng vai trò điểm vào ban đầu để mở rộng kiểm soát lên toàn bộ máy chủ.
Chuỗi tải payload và kỹ thuật duy trì truy cập
Đối tượng tấn công sử dụng nhiều thành phần trong chuỗi payload để tránh bị phát hiện. Một số kỹ thuật được ghi nhận gồm:
- Ẩn hạ tầng C2 bằng Rot13 trong JavaScript.
- Luân chuyển token của bot Telegram để giảm khả năng bị triage.
- Phân phối dữ liệu đánh cắp qua nhiều kênh khác nhau.
Cuối chuỗi tấn công là một Trojan điều khiển từ xa có tên Filemanager. Mã này hỗ trợ Linux, Windows và Darwin, cho phép kẻ tấn công mở giao diện điều khiển web để thực thi lệnh từ xa và quản lý tệp.
Việc kết hợp webshell, SSH key độc hại và Trojan điều khiển từ xa cho thấy đây là một chiến dịch xâm nhập mạng có tổ chức, không phải khai thác đơn lẻ. Trong ngữ cảnh này, lỗ hổng CVE là cơ chế mở đường cho toàn bộ chuỗi tấn công.
Chỉ báo xâm nhập cần theo dõi
Dữ liệu gốc có đề cập đến IOC, nhưng các giá trị chi tiết của domain, IP và MD5 đã được làm mờ. Khi rà soát phát hiện xâm nhập, có thể theo dõi các dấu hiệu hành vi sau:
- Thay đổi mật khẩu root không hợp lệ.
- Xuất hiện SSH public key mới trong hồ sơ quản trị.
- JavaScript bất thường trên trang đăng nhập cPanel/WHM.
- Kết nối ra ngoài đến miền hoặc bot Telegram không mong đợi.
- Hoạt động AJAX gửi dữ liệu đăng nhập ra ngoài.
Vì IOC cụ thể không được cung cấp ở dạng nguyên bản, việc đối chiếu cần thực hiện trong SIEM, MISP hoặc VirusTotal theo môi trường kiểm soát.
Kiểm tra và giảm thiểu rủi ro bảo mật
Để giảm rủi ro bảo mật từ lỗ hổng CVE này, hệ thống cPanel/WHM cần được kiểm tra trạng thái bản vá và rà soát các dấu hiệu chỉnh sửa trái phép. Nên ưu tiên kiểm tra những vị trí sau:
- Tệp cấu hình SSH và authorized_keys của tài khoản quản trị.
- Các trang đăng nhập tùy biến của cPanel/WHM.
- Log xác thực và log web server.
- Tiến trình lạ trên máy chủ Linux.
Nếu phát hiện dấu hiệu hệ thống bị xâm nhập, cần cô lập máy chủ, thu thập log và kiểm tra toàn bộ đường dẫn persistence. Với các môi trường chưa cập nhật, cập nhật bản vá là bước bắt buộc để giảm nguy cơ bị khai thác tiếp.
Ghi chú kỹ thuật về khai thác
Chuỗi tấn công liên quan đến lỗ hổng CVE-2026-41940 thể hiện rõ mô hình khai thác remote code execution theo hướng bỏ qua xác thực rồi leo thang quyền quản trị. Khi một cảnh báo CVE đã bị khai thác công khai, việc theo dõi hành vi hậu khai thác quan trọng không kém so với xử lý bản vá.
Trong các môi trường vận hành cPanel/WHM, việc giám sát an toàn thông tin, kiểm tra thay đổi cấu hình và phát hiện các kết nối C2 bất thường là yêu cầu tối thiểu để hạn chế xâm nhập trái phép và ngăn chặn tái xâm nhập.
