Falha crítica no cPanel é explorada contra governos, militares e provedores gerenciados

A exploração de CVE-2026-41940 combina abuso de painel WHM, acesso persistente com OpenVPN e Ligolo, uso de AdaptixC2 e atividade paralela de botnets e ransomware após a divulgação pública da falha.

Componente	cPanel e WebHost Manager (WHM), explorados por meio de CVE-2026-41940.
Vetor	Exploração remota de uma falha crítica de desvio de autenticação, com uso de provas de conceito públicas contra painéis expostos.
Impacto	Controle elevado do painel, comprometimento de endpoints, pivoteamento interno, varredura, força bruta e possível implantação de botnets Mirai ou ransomware Sorry por terceiros.
Prioridade	Aplicar as correções do cPanel, executar o script de detecção atualizado, revisar sinais de comprometimento e remover persistência associada a systemd, OpenVPN, Ligolo e AdaptixC2.
IoCs	Atividade observada a partir do endereço 95.111.250[.]175.
Artefatos	AdaptixC2, OpenVPN, Ligolo, unidades systemd, variantes Mirai e ransomware Sorry foram associados a explorações ou pós-exploração relacionadas.
Alvos	Domínios governamentais e militares nas Filipinas e no Laos, além de provedores de serviços gerenciados e hospedagem nas Filipinas, Laos, Canadá, África do Sul e Estados Unidos.

Resumo técnico

Uma campanha de ameaça ainda sem atribuição pública foi observada explorando CVE-2026-41940, uma vulnerabilidade crítica em cPanel e WebHost Manager (WHM) que permite desvio de autenticação e elevação de controle sobre o painel. A atividade foi detectada em 2 de maio de 2026 e concentrou-se em entidades governamentais e militares do Sudeste Asiático, com foco em domínios das Filipinas e do Laos, incluindo padrões como *.mil.ph, *.ph e *.gov.la. Um conjunto menor de vítimas ou tentativas também envolveu provedores de serviços gerenciados e provedores de hospedagem nas Filipinas, Laos, Canadá, África do Sul e Estados Unidos. O endereço 95.111.250[.]175 aparece como origem relevante da atividade descrita no material analisado, o que o torna um indicador inicial para correlação em logs de borda, painéis administrativos, WAF, EDR e telemetria de rede.

O risco operacional não se limita ao acesso inicial ao painel. A exploração de um painel de hospedagem normalmente oferece caminho direto para contas, domínios, bancos de dados, arquivos web, tarefas agendadas, chaves, configurações de e-mail, certificados e rotinas de automação. Em ambientes de MSP e hospedagem, o mesmo ponto de controle pode concentrar múltiplos clientes, ampliar a superfície de impacto e criar condições para pivoteamento entre contas, servidores compartilhados, redes administrativas e integrações de provisionamento. A presença de AdaptixC2 em endpoints comprometidos, combinada ao uso de OpenVPN, Ligolo e persistência via systemd, indica uma fase de pós-exploração voltada a permanência, controle remoto e movimentação dentro de redes internas, não apenas tentativa oportunista de varredura.

A exploração de CVE-2026-41940 também foi aproveitada por múltiplos terceiros em até 24 horas após a divulgação pública. Esse detalhe altera a prioridade de resposta porque ambientes expostos podem ter recebido tentativas de atores diferentes, com objetivos diferentes, no mesmo intervalo: acesso interativo por operador humano, alistamento em botnet, execução de payload de ransomware ou uso do host como infraestrutura para varredura e força bruta. Dados de honeypots indicaram pelo menos 44.000 endereços IP provavelmente comprometidos por CVE-2026-41940 envolvidos em varredura e ataques de força bruta em 30 de abril de 2026; em 3 de maio de 2026, o número havia caído para 3.540. Essa queda não elimina comprometimentos persistentes, pois hosts já acessados podem permanecer controlados mesmo após redução do volume de tráfego automatizado.

Fluxo técnico

O fluxo principal começa com a exposição de instâncias cPanel ou WHM vulneráveis à internet. A falha CVE-2026-41940 é descrita como um desvio de autenticação com potencial de permitir que atacantes remotos obtenham controle elevado do painel. Com provas de conceito públicas disponíveis, a barreira de exploração diminui: operadores podem adaptar requisições, automatizar varredura de painéis, validar versões vulneráveis e tentar acesso sem depender de engenharia reversa extensa. Uma vez dentro do painel, o atacante pode procurar contas privilegiadas, funções administrativas, arquivos de aplicação, credenciais armazenadas, configurações de domínios e rotas que permitam escrita em diretórios web ou execução indireta por tarefas do ambiente.

A etapa de pós-exploração observada inclui o uso de AdaptixC2 como estrutura de comando e controle. Esse tipo de componente permite gerenciamento remoto de sessões, execução de comandos, coleta de informações, movimentação por credenciais e coordenação de ações posteriores. O uso de OpenVPN e Ligolo aponta para a construção de uma camada de acesso durável à rede comprometida. OpenVPN pode estabelecer túnel persistente a partir do host vítima, enquanto Ligolo é frequentemente usado para criar pivôs e alcançar segmentos internos sem exposição direta à internet. A persistência via systemd sugere que serviços locais foram configurados para reiniciar após boot ou falha, o que exige inspeção de unidades, timers, caminhos de execução e binários associados.

Além da exploração do cPanel, o mesmo operador foi associado a uma cadeia separada contra um portal de treinamento do setor de defesa da Indonésia. Nesse caso, o pré-requisito era diferente: o atacante já possuía credenciais válidas, passava pelo CAPTCHA e acessava uma função de gerenciamento de documentos. O ponto vulnerável era o campo usado para salvar o nome de um documento, que recebia injeção SQL quando enviado ao endpoint de salvamento de documentos. A cadeia combinava injeção SQL autenticada e execução remota de código, demonstrando que a campanha não dependia de um único CVE; havia capacidade de explorar lógica de aplicação sob credenciais legítimas, ampliar execução e transformar um sistema autenticado em ponte para acesso interno.

Em uma ocorrência vinculada a essa camada de acesso, o operador teria usado OpenVPN, Ligolo e persistência via systemd para entrar em uma rede interna e exfiltrar um volume substancial de documentos do setor ferroviário chinês. A presença desse objetivo de coleta de documentos diferencia parte da atividade de exploração puramente monetária. Ao mesmo tempo, a exploração ampla de CVE-2026-41940 por terceiros resultou em implantação de variantes Mirai e do ransomware Sorry, mostrando que a mesma falha passou a alimentar uma ecologia de abuso com finalidades distintas: botnet, extorsão, acesso persistente, coleta documental e uso de infraestrutura comprometida para ataques subsequentes.

Superfície afetada

A superfície afetada abrange qualquer instância cPanel ou WHM vulnerável, especialmente quando o painel administrativo está diretamente acessível pela internet. O risco é maior em provedores de hospedagem, MSPs e ambientes que concentram múltiplas contas de clientes sob uma mesma camada administrativa. Nessas arquiteturas, o comprometimento do painel pode expor arquivos de sites, credenciais de banco de dados, configurações de e-mail, zonas DNS, certificados, scripts de automação, backups, chaves de API armazenadas por aplicações e rotinas de provisionamento. Quando o painel opera com privilégios elevados no servidor, o impacto pode ir além da aplicação hospedada e alcançar o sistema operacional e a rede de gerenciamento.

Órgãos governamentais e militares com domínios vinculados às Filipinas e ao Laos aparecem como alvos principais da campanha descrita, enquanto provedores de serviços gerenciados e hospedagem em cinco países aparecem como cluster menor. Essa seleção de alvos exige que defensores tratem o incidente como ameaça dirigida quando houver correspondência com esses setores e regiões, sem ignorar exploração oportunista em ambientes fora desse recorte. A rápida adoção da falha por outros grupos significa que uma organização pode ter sido atingida por mais de uma cadeia: uma sessão inicial ligada ao endereço 95.111.250[.]175, tentativas automatizadas de Mirai, payload de ransomware Sorry ou varredura gerada por hosts já comprometidos.

O portal de treinamento do setor de defesa indonésio amplia o entendimento da superfície porque demonstra exploração autenticada de aplicação web fora do ecossistema cPanel. A condição necessária nesse caso era a posse de credenciais válidas e a passagem pelo CAPTCHA, seguida do envio de um valor malicioso no campo de nome do documento para o endpoint de salvamento. Ambientes com funções de upload, gerenciamento documental, metadados editáveis e campos gravados em banco de dados devem ser revisados quando houver sinais de autenticação anômala, erro SQL, alteração inesperada de documentos ou execução de processos a partir do contexto da aplicação.

A superfície pós-comprometimento inclui serviços persistentes, túneis e rotas internas. Unidades systemd criadas ou modificadas podem manter binários, scripts ou clientes de túnel vivos após reinicialização. Conexões OpenVPN e pivôs Ligolo podem permitir acesso a serviços que não deveriam ser expostos externamente, como bancos de dados internos, painéis de administração, compartilhamentos de arquivos, controladores de identidade e sistemas documentais. A combinação de painel comprometido e túnel persistente exige análise além do host inicial, incluindo redes alcançáveis, credenciais usadas depois do acesso e documentos ou repositórios consultados.

• Instâncias cPanel e WHM vulneráveis a CVE-2026-41940 expostas à internet.
• Domínios governamentais e militares associados a *.mil.ph, *.ph e *.gov.la.
• MSPs e provedores de hospedagem nas Filipinas, Laos, Canadá, África do Sul e Estados Unidos.
• Aplicações autenticadas com funções de gerenciamento de documentos e campos gravados em banco de dados.
• Hosts com serviços systemd, clientes OpenVPN, pivôs Ligolo ou sessões AdaptixC2 não autorizadas.

Hunting e telemetria

A investigação deve começar pelos pontos de exposição do cPanel e do WHM: logs de acesso, autenticação, sessões administrativas, alterações de conta, chamadas de API, criação de usuários, mudanças em domínios, alterações em arquivos web e execução de tarefas agendadas. O endereço 95.111.250[.]175 deve ser pesquisado em logs de firewall, proxy, WAF, balanceadores, EDR, DNS e autenticação. Como a falha envolve desvio de autenticação, a ausência de login legítimo anterior não deve encerrar a investigação. É necessário correlacionar requisições suspeitas ao painel com alterações subsequentes no sistema de arquivos, processos filhos, conexões de saída e persistência local.

Em endpoint e servidor Linux, a busca deve cobrir unidades systemd recém-criadas ou alteradas, timers incomuns, serviços com nomes parecidos com componentes legítimos, caminhos executáveis em diretórios temporários, permissões excessivas e binários sem origem conhecida. Processos relacionados a OpenVPN devem ser avaliados pelo arquivo de configuração usado, destino remoto, usuário de execução, tempo de criação e relação com mudanças recentes no host. Para Ligolo, a telemetria deve considerar processos escutando portas locais, conexões reversas, interfaces virtuais, rotas adicionadas e tráfego entre segmentos que antes não se comunicavam. Em AdaptixC2, a análise deve procurar processos ou beacons desconhecidos, execução interativa de comandos, transferência de arquivos e conexões persistentes para infraestrutura externa.

A telemetria de rede deve procurar varredura e força bruta originadas do próprio ambiente, pois hosts comprometidos por CVE-2026-41940 foram observados atacando honeypots em grande escala. Essa característica transforma servidores vítimas em possíveis fontes de abuso contra terceiros. Indicadores incluem aumento abrupto de conexões de saída para múltiplos destinos, tentativas repetidas de autenticação, portas administrativas sendo varridas, padrões de botnet e comunicação compatível com variantes Mirai. Para ransomware Sorry, a investigação deve buscar execução de binários recentes, alteração massiva de arquivos, notas de resgate, processos com comportamento de criptografia e eventos de acesso a compartilhamentos.

No caso da cadeia autenticada contra aplicação documental, logs de aplicação e banco de dados devem ser revisados em busca de payloads SQL no campo de nome de documento, erros de sintaxe SQL, requisições ao endpoint de salvamento após autenticação bem-sucedida, mudanças de documento feitas por contas incomuns e execução de comandos a partir do contexto web. Como o atacante já possuía credenciais válidas, a investigação precisa incluir origem geográfica incomum, reutilização de sessão, horários fora do padrão, falhas de CAPTCHA, sucesso após múltiplas tentativas e ações administrativas incompatíveis com o perfil da conta.

• Requisições ao cPanel ou WHM a partir de 95.111.250[.]175.
• Criação ou modificação recente de unidades systemd sem mudança administrativa documentada.
• Processos OpenVPN ou configurações de túnel sem vínculo com operação autorizada.
• Artefatos de Ligolo, rotas novas, interfaces virtuais e conexões entre segmentos internos.
• Sessões, processos ou tráfego compatíveis com AdaptixC2 em endpoints comprometidos.
• Varredura e força bruta saindo de servidores de hospedagem após 30 de abril de 2026.
• Payloads SQL em campos de nome de documento e erros de banco em endpoints de salvamento.

Mitigação

A primeira medida é aplicar as correções disponibilizadas para cPanel e WHM em todos os servidores expostos, sem limitar a ação aos hosts que apresentaram alerta evidente. Em seguida, deve ser executada a versão mais recente do script de detecção do fornecedor, criada para reduzir falsos positivos e melhorar a identificação de ambientes afetados. A correção sozinha não remove acesso persistente, túneis, contas criadas, arquivos alterados ou payloads já instalados. Por isso, servidores com qualquer indicador de comprometimento precisam passar por resposta completa: isolamento controlado, coleta de evidências, revisão de contas, análise de processos, inspeção de persistência e validação de integridade.

Para ambientes de hospedagem e MSP, a mitigação deve incluir análise por cliente e por conta, porque um painel comprometido pode ter permitido alterações seletivas em domínios específicos. Arquivos web, chaves, bancos de dados, tarefas agendadas, contas FTP, contas de e-mail, tokens de aplicação e configurações DNS devem ser comparados com estado esperado. Credenciais administrativas, credenciais de clientes e segredos acessíveis pelo painel devem ser rotacionados quando houver confirmação ou forte suspeita de acesso. Se o host foi usado para varredura, força bruta ou botnet, a equipe deve revisar bloqueios de saída, reputação do IP, filas de e-mail, processos persistentes e possíveis notificações de abuso.

A remoção de persistência deve tratar explicitamente systemd, OpenVPN, Ligolo e qualquer artefato associado a AdaptixC2. Serviços desconhecidos devem ser desabilitados somente após coleta suficiente para preservar evidência, quando o processo de resposta exigir rastreabilidade. Conexões de túnel devem ser interrompidas, chaves e certificados relacionados devem ser revogados, rotas adicionadas devem ser removidas e regras de firewall devem ser revisadas para impedir reentrada. Como há relato de pivoteamento e exfiltração de documentos em uma cadeia associada, a investigação deve verificar acessos a repositórios documentais, compartilhamentos internos, sistemas de treinamento, bancos de dados e arquivos sensíveis alcançáveis a partir do host inicial.

Na aplicação documental explorada por SQL injection autenticada, a resposta exige revogação das credenciais usadas pelo atacante, revisão de contas com privilégios semelhantes, correção do endpoint vulnerável e validação de todos os campos gravados no banco. O parâmetro de nome de documento deve ser tratado com consulta parametrizada, validação de entrada e controle de erros que não exponha detalhes do banco. Logs de banco e aplicação precisam ser preservados para identificar leitura, alteração ou extração de registros. A presença de CAPTCHA não deve ser tratada como controle suficiente, pois o fluxo observado ocorreu após autenticação e passagem por esse mecanismo.

Depois da contenção, a validação deve confirmar três pontos: a versão corrigida está ativa, não há persistência não autorizada e não existe tráfego de saída compatível com C2, túnel, botnet ou força bruta. Organizações com exposição pública de cPanel e WHM devem restringir acesso administrativo por VPN corporativa ou listas de permissão, registrar autenticação e ações administrativas em armazenamento centralizado, monitorar alterações em unidades systemd e alertar para criação de túneis não aprovados. Em provedores de hospedagem, a segmentação entre clientes e a limitação de privilégios do painel reduzem o impacto quando uma conta ou instância administrativa é comprometida.

• Atualizar imediatamente cPanel e WHM para versões corrigidas contra CVE-2026-41940.
• Executar o script de detecção atualizado e tratar resultados positivos como possível comprometimento já ocorrido.
• Pesquisar e remover persistência via systemd, túneis OpenVPN, pivôs Ligolo e sessões AdaptixC2.
• Rotacionar credenciais administrativas, credenciais de clientes e segredos acessíveis pelo painel quando houver suspeita de acesso.
• Revisar tráfego de saída para varredura, força bruta, comunicação de botnet, ransomware Sorry ou C2.
• Corrigir endpoints autenticados vulneráveis a SQL injection com consultas parametrizadas e validação de entrada.
• Restringir acesso ao painel administrativo por rede confiável, VPN autorizada e controle de origem.