lỗ hổng CVE trong cPanel/WHM đã bị khai thác trong một chiến dịch xâm nhập nhắm vào hạ tầng chính phủ và quân sự ở Đông Nam Á, đồng thời kết hợp khai thác tùy biến trên một cổng portal thuộc lĩnh vực quốc phòng. Chiến dịch này bắt đầu từ CVE-2026-41940, một CVE nghiêm trọng với điểm CVSS 9.8, rồi mở rộng sang chuỗi khai thác SQL injection, C2, pivot nội bộ và trích xuất dữ liệu quy mô lớn.
Lỗ hổng CVE-2026-41940 trong cPanel và WHM
CVE-2026-41940 là lỗi authentication bypass ảnh hưởng đến các phiên bản cPanel/WHM sau v11.40. Lỗ hổng này khai thác CRLF injection trong quá trình đăng nhập và nạp session, cho phép kẻ tấn công chưa xác thực sửa giá trị cookie whostmgrsession và đạt được quyền root-level administrative access mà không cần thông tin xác thực hợp lệ.
Theo nguồn công bố kỹ thuật, việc khai thác đã được ghi nhận in the wild trước khi bản vá của cPanel phát hành ngày 28/04/2026. CISA sau đó đã đưa lỗ hổng này vào danh mục Known Exploited Vulnerabilities. Tham chiếu kỹ thuật: NVD.
Trong bối cảnh lỗ hổng CVE này, việc quét và khai thác diện rộng đã xuất hiện trên hạ tầng honeypot, với khoảng 44.000 địa chỉ IP duy nhất bị quan sát trong hoạt động scan, brute-force hoặc phát động exploit.
Dấu hiệu cần kiểm tra trên hệ thống cPanel/WHM
- Log đăng nhập có mẫu CRLF-based session manipulation.
- Cookie
whostmgrsessionbị thay đổi bất thường. - Phiên quản trị phát sinh không rõ nguồn gốc.
- Dấu hiệu truy cập root-level từ IP không hợp lệ.
Chuỗi khai thác trên portal quốc phòng
Song song với lỗ hổng CVE trong cPanel, tác nhân đe dọa còn sử dụng một exploit tùy biến nhắm vào portal đào tạo của lĩnh vực quốc phòng. Ở giai đoạn đầu, tài khoản hợp lệ đã tồn tại, nhưng cơ chế CAPTCHA bị vô hiệu hóa vì giá trị CAPTCHA được đọc trực tiếp từ session cookie do máy chủ cấp phát. Điều này khiến thử thách xác thực trở nên vô dụng mà không cần giải CAPTCHA.
Sau khi vào được ứng dụng, kẻ tấn công nhắm vào chức năng quản lý tài liệu và chèn SQL injection qua trường tên tài liệu ở một endpoint lưu trữ dễ tổn thương. Lỗi này sau đó được leo thang thành truy cập hệ điều hành bằng khả năng PostgreSQL COPY ... TO PROGRAM, cho phép database server sinh lệnh shell tùy ý.
Kỹ thuật leo thang và trích xuất dữ liệu
Output của lệnh bị ghi vào /tmp, sau đó được base64-encode và nạp lại vào bản ghi ứng dụng bằng pg_read_file(). Đây là một kênh exfiltration dựa trên đọc file, hoạt động hoàn toàn trong lớp database và khó bị phát hiện nếu chỉ theo dõi lưu lượng ứng dụng bề mặt.
-- Mẫu kỹ thuật minh họa chuỗi lạm dụng PostgreSQL
COPY (SELECT '') TO PROGRAM 'id > /tmp/out.txt';
SELECT pg_read_file('/tmp/out.txt');File exploit được ghi nhận với tên exploit_siak_bahasa.py và hàm băm SHA-256: 974E272A…. Mã nguồn chứa bình luận tiếng Việt, nhưng điều này không đủ để kết luận về nguồn gốc hay quy kết.
Hạ tầng C2, payload và pivot nội bộ
Để duy trì xâm nhập mạng, tác nhân triển khai một payload AdaptixC2 dưới dạng ELF binary tên 1, cấu hình beacon đến delicate-dew.serveftp[.]com:4455. Telemetry phía máy chủ cũng ghi nhận địa chỉ 95.111.250[.]175 là hạ tầng điều phối.
Song song, một PowerShell reverse shell có tên init.ps1 được phục hồi, thiết lập kết nối TCP về cùng IP trên cổng 4444. Các thành phần này cho thấy mô hình điều khiển nhiều tầng, phục vụ remote code execution và duy trì truy cập dài hạn.
Thiết lập pivot và cơ chế bám trụ
Hạ tầng pivot được xây theo lớp với OpenVPN và Ligolo. OpenVPN server xuất hiện trên 95.111.250[.]175:1194/UDP từ ngày 08/04/2026, định tuyến qua subnet client 10.8.0.0/24.
Ligolo proxy agent được cài dưới thư mục ẩn /usr/local/bin/.netmon/, ngụy trang thành service systemd tên systemd-update.service và được cấu hình tự khởi động lại. Cách triển khai này hỗ trợ quay lại hệ thống sau reboot và làm phức tạp quá trình phát hiện xâm nhập.
[Unit]
Description=systemd-update.service
After=network.target
[Service]
ExecStart=/usr/local/bin/.netmon/ligolo-proxy
Restart=always
[Install]
WantedBy=multi-user.targetExfiltration tài liệu qua SFTP
Thông qua đường pivot nội bộ, tác nhân tiếp cận host 10.16.13.88 và triển khai script exfil_docs_v2.sh để trích xuất dữ liệu qua SFTP-based exfiltration. Tổng cộng 110 tệp, tương đương khoảng 4,37GB, đã bị lấy đi từ kho tài liệu của China Railway Society Electrification Committee.
Nhóm dữ liệu bị tác động bao gồm các định dạng .pptx, .pdf, .docx và .xlsx trải dài từ năm 2020 đến 2024. Trong số đó có các workbook tài chính năm 2021 chứa họ tên đầy đủ, số định danh cá nhân, thông tin tài khoản ngân hàng và số điện thoại.
Đây là một trường hợp rò rỉ dữ liệu nhạy cảm sau khi hệ thống bị xâm nhập, với dấu hiệu thu thập dữ liệu có chọn lọc thay vì mã hóa tống tiền.
IOC liên quan đến chiến dịch
- CVE-2026-41940 — Authentication bypass trong cPanel/WHM.
- 95.111.250[.]175 — IP C2 và hạ tầng điều phối.
- delicate-dew.serveftp[.]com — miền beacon của payload AdaptixC2.
- 10.8.0.0/24 — subnet client của OpenVPN pivot.
- 10.16.13.88 — host nội bộ bị truy cập qua pivot.
- exploit_siak_bahasa.py — file exploit tùy biến.
- init.ps1 — reverse shell PowerShell.
- exfil_docs_v2.sh — script exfiltration qua SFTP.
- systemd-update.service — tên service giả mạo để bám trụ.
Khuyến nghị kỹ thuật cho cPanel/WHM
Đối với các hệ thống chạy cPanel/WHM, cần cập nhật bản vá lên phiên bản mới nhất ngay lập tức và rà soát log để tìm dấu hiệu can thiệp session dựa trên CRLF. Đây là điểm kiểm tra trọng yếu khi xử lý cảnh báo CVE liên quan đến lỗ hổng zero-day đã bị khai thác thực tế.
Các tổ chức cần đối chiếu log với mẫu truy cập quản trị bất thường, dấu hiệu thay đổi cookie whostmgrsession, và hoạt động tạo tiến trình không mong đợi trên máy chủ. Việc theo dõi đồng thời lưu lượng outbound, service mới, và file thực thi trong thư mục ẩn có thể hỗ trợ phát hiện tấn công sớm hơn.
Thông tin tham chiếu bổ sung: CISA Known Exploited Vulnerabilities Catalog.
