Dos meses de inacción: anuncian la fecha en que comenzará la explotación de un zero-day en cPane
¿Por qué los administradores de sistemas de todo el mundo no detectaron el ataque a tiempo?
Vulnerabilidad en cPanel, sobre la que los propietarios de servidores supieron solo a finales de abril, resultó ser mucho más peligrosa de lo que se pensaba al principio. Como se descubrió recientemente, los atacantes aprovecharon activamente la brecha para tomar control de servidores de alojamiento hasta dos meses antes de que se emitiera la advertencia oficial, y los administradores ni siquiera sospechaban el riesgo. La magnitud del problema afectó a millones de sitios, incluidos proyectos de WordPress, servicios corporativos e infraestructura de correo.
El director de KnownHost, Daniel Pearson, informó que los primeros intentos de explotación se registraron ya el 23 de febrero de 2026. La advertencia pública apareció solo el 28 de abril. Durante los 64 días transcurridos, los propietarios de servidores no recibieron ni actualizaciones de seguridad, ni el identificador CVE, ni recomendaciones de protección.
La vulnerabilidad recibió el identificador CVE-2026-41940 y una puntuación de 9,8 en la escala CVSS. El problema está relacionado con un error en la verificación de autenticación en cPanel y WHM. Un atacante podía obtener de forma remota privilegios root sin introducir usuario ni contraseña. Tras la intrusión se abría acceso completo a todas las cuentas, dominios, bases de datos, correo electrónico y la configuración del servidor. En un alojamiento compartido, la compromisión de un nodo significaba acceso inmediato a cientos de sitios de clientes.
Estaban en riesgo las versiones de cPanel y WHM desde la 11.86.0 hasta la 11.136.0, así como WP Squared hasta la versión 136.1.7. Los especialistas señalan que el código vulnerable estuvo presente en el producto durante varios años.
Tras la divulgación, los atacantes desplegaron rápidamente ataques masivos. Según Censys, solo el 1 de mayo se registraron más de 15 000 servidores cPanel y WHM infectados que participaron en actividad maliciosa. Unos grupos distribuían el ransomware Sorry Ransomware, que renombraba archivos con la extensión ".sorry" y atacaba sobre todo sitios WordPress. Otros implantaban una variante del botnet Mirai llamada nuclear.x86.
Rapid7 estimó el número de servidores potencialmente vulnerables en aproximadamente 1,5 millones. En Censys contaron más de un millón de instancias públicas de cPanel y WHM. Entre los proveedores con mayor número de nodos infectados se encontraban DigitalOcean, OVH, Hetzner, Vultr y GoDaddy.
El 30 de abril la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incluyó CVE-2026-41940 en el catálogo de vulnerabilidades explotadas activamente KEV y exigió a las agencias federales que resuelvan el problema antes del 3 de mayo.
Los especialistas advierten que una simple actualización no es suficiente. Se recomienda considerar potencialmente comprometidos los servidores que estuvieron accesibles desde internet entre febrero y abril y revisarlos en busca de malware oculto, claves SSH no autorizadas y tareas cron sospechosas.