Introduction : un trou dans la base de l’infrastructure web
La semaine écoulée a brusquement remis en lumière combien la chaîne de confiance de l’internet repose sur quelques briques logicielles massivement déployées. La vulnérabilité CVE‑2026‑41940 affectant cPanel & WHM, l’un des panels de gestion d’hébergement web les plus utilisés au monde, a été exploitée en masse pour ouvrir la porte à des opérations de ransomware et de prise de contrôle massive de serveurs.
Avec un score CVSS de 9,8 / 10, ce bug de contournement d’authentification permet à un attaquant distant non authentifié de s’octroyer un accès administratif complet sur le serveur, sans mot de passe ni compte valide. En quelques jours, des milliers d’IP ont été détectées en train de scanner et de exploiter des instances cPanel exposées, souvent dans le cadre de campagnes de ransomware « Sorry » et d’autres opérations offensives structurées.
Fait clé 1 : de quoi parle‑t‑on concrètement ?
CVE‑2026‑41940 est une faille de contournement d’authentification pré‑authentifiée dans le processus de login et de gestion de session de cPanel & WHM. Le mécanisme exploité repose sur une injection CRLF dans le flux de connexion/chargement de session, combinée à une mauvaise gestion du cryptage et de la sauvegarde des fichiers de session.
En pratique, un attaquant peut :
- manipuler le cookie
whostmgrsessionpour que des données contrôlées soient écrites dans un fichier de session avant la fin de l’authentification ; - contourner la logique de chiffrement attendue, puis profiter d’une quirk de cache de session pour se faire « promouvoir » en session administrateur ;
- obtenir ensuite un accès root‑level sur WHM, avec les droits de modifier tous les comptes d’hébergement, les bases de données, les fichiers web, ainsi que les configurations système.
cPanel a indiqué que toutes les versions actuellement supportées après 11.40, ainsi que WP Squared (WP2), étaient affectées, ce qui représente une base installée de l’ordre d’1,5 million de serveurs exposés à Internet selon les données de Shodan et d’autres acteurs de télémétrie.
Fait clé 2 : exploitation massive et ransomware « Sorry »
Dès l’annonce de la vulnérabilité, début avril 2026, des groupes de menace ont amorcé une campagne de scan et d’exploitation coordonnée. Les premiers signaux montrent que cette faille a été exploitée en tant que zero‑day pendant plusieurs semaines avant la publication officielle du patch par cPanel, ce qui en fait un cas typique de menace « déjà déployée » avant que la correctifs ne soient diffusés.
Les observatoires de sécurité et le Shadowserver Foundation ont recensé des dizaines de milliers d’IP suspectes, certaines déjà impliquées dans des attaques de ransomware « Sorry » frappant des sites hébergés sur des serveurs cPanel non mis à jour. Dans ces scénarios, l’attaquant passe par :
- l’exploitation de CVE‑2026‑41940 pour obtenir un accès WHM complet ;
- l’exfiltration de bases de données, fichiers de configuration et credentials divers ;
- le déploiement de ransomware ou de malwares de persistance, parfois avec modification du mot de passe root pour verrouiller l’administrateur légitime hors du serveur.
Le fait que des hébergeurs, banques et organisations publiques utilisent des environnements cPanel rend la portée potentielle de ces intrusions particulièrement critique, au point que l’agence américaine CISA a inscrit CVE‑2026‑41940 au catalogue des vulnérabilités connues et exploitées (KEV).
No responses yet