Zero-day Crítico no cPanel Ativo por 64 Dias Antes de ser Descoberto

O CEO da KnownHost, Daniel Pearson, confirmou tentativas de exploração contra a CVE-2026-41940 (CVSS 9.8) a partir de 23 de fevereiro, aproximadamente 64 dias antes do aviso da cPanel em 28 de abril. Isso indica que os atacantes encontraram o bypass de autenticação de injeção CRLF na gestão de sessões do cPanel/WHM muito antes do pesquisador que o divulgou responsavelmente. A Censys identificou mais de 1 milhão de hosts cPanel/WHM expostos (a Rapid7 apontou um número próximo a 1,5 milhão em versões 11.86.0 a 11.136.0 e WP Squared v136.1.7 e anteriores).

Somente em 1º de maio, 15.448 hosts cPanel (79,99% do rastreamento de hosts maliciosos da GreyNoise naquele dia) participaram de atividades de ataque, com 7.135 hosts já exibindo extensões ".sorry" do Sorry Ransomware em arquivos core do WordPress e uma variante separada do Mirai ("nuclear.x86") sendo implantada via Telnet pós-comprometimento. A CISA adicionou a CVE ao catálogo KEV em 30 de abril, com prazo federal até 3 de maio. A NocInit recomenda migrar qualquer servidor que esteve acessível pela internet nas portas 2082-2096 durante o período de fevereiro a abril para uma nova instalação a partir de backups pré-invasão, em vez de tentar limpar o sistema.