Kritische cPanel-Lücke: Über 40.000 Server kompromittiert

Über 40.000 Server wurden durch die cPanel-Lücke CVE-2026-41940 kompromittiert. Angreifer nutzen den kritischen Exploit seit Februar für administrative Zugriffe.

Die Non-Profit-Organisation Shadowserver Foundation meldet, dass im Zuge einer laufenden Angriffswelle bereits mehr als 40.000 Server weltweit kompromittiert wurden. Ziel der Attacken ist eine kritische Schwachstelle in der weit verbreiteten Webserver-Verwaltungssoftware cPanel & WebHost Manager (WHM). Die Sicherheitslücke, die unter der Kennung CVE-2026-41940 geführt wird, ermöglicht unauthentifizierten Angreifern die vollständige Übernahme von Host-Systemen und den Zugriff auf sämtliche verwaltete Webseiten und Datenbanken.

Ausnutzung der Schwachstelle CVE-2026-41940 durch CRLF-Injection

Die technische Ursache für die Massenkompromittierung liegt in einem sogenannten CRLF-Injection-Fehler (Carriage Return Line Feed) innerhalb der Verarbeitung von HTTP-Basic-Authentifizierungs-Headern durch den cPanel-Service-Daemon (cpsrvd). Angreifer können durch das Einfügen spezieller Steuerzeichen in den Autorisierungs-Header gezielt Parameter in eine temporäre Sitzungsdatei auf der Festplatte des Servers schreiben. Diese Dateien befinden sich üblicherweise im Verzeichnis /var/cpanel/sessions/raw/.

Durch die Injektion von Zeilenumbrüchen gelingt es den Hackern, zusätzliche Zeilen in das Dateiformat einzuschleusen, die vom System als valide Konfigurationsparameter interpretiert werden. Ein typischer Angriffspfad sieht vor, dass zunächst eine Sitzungsdatei durch einen fehlgeschlagenen Login-Versuch erzeugt wird. Im zweiten Schritt triggert der Angreifer das Neuladen dieser Datei, wobei die injizierten Parameter – wie etwa hasroot=1 oder ein manipulierter pass= Eintrag – dafür sorgen, dass der Angreifer ohne gültiges Passwort administrative Rechte (Root-Zugriff) erhält.

Dokumentierte Zero-Day-Attacken seit Februar 2026

Obwohl cPanel erst am 28. April 2026 offizielle Sicherheitspatches bereitstellte, belegen forensische Analysen eine deutlich längere Phase der aktiven Ausnutzung. Laut Berichten des Hosting-Anbieters KnownHost wurden erste Ausführungsversuche bereits am 23. Februar 2026 registriert. Damit fungierte die Schwachstelle über zwei Monate lang als Zero-Day-Exploit, bevor sie öffentlich bekannt wurde.

Ein hoher Anstieg der Aktivitäten wurde unmittelbar nach der Veröffentlichung technischer Details durch die Sicherheitsfirma WatchTowr beobachtet. Shadowserver verzeichnete am 30. April einen Peak von rund 44.000 eindeutigen IP-Adressen, die von kompromittierten Systemen ausgingen oder aktiv versuchten, andere cPanel-Instanzen zu infizieren. Betroffen sind laut Rapid7 potenziell bis zu 1,5 Millionen über das Internet erreichbare Instanzen. Die geografischen Schwerpunkte der Infektionen liegen derzeit in den USA, gefolgt von Frankreich und den Niederlanden.

Reaktion der Hosting-Provider und präventive Port-Sperren

Aufgrund der Schwere der Sicherheitslücke reagierten große Hosting-Provider wie Namecheap, HostPapa, InMotion und KnownHost bereits kurz nach der ersten Warnung. Um die Zeitspanne bis zum vollständigen Ausrollen der Patches zu überbrücken, blockierten viele Anbieter präventiv den Zugriff auf die Standard-Ports von cPanel und WHM (2082, 2083, 2086, 2087) auf Netzwerkebene.

Diese Maßnahmen schützten vor allem Kunden in Shared-Hosting-Umgebungen, während Betreiber eigener Server-Instanzen oft auf sich allein gestellt waren. Die US-Cybersicherheitsbehörde CISA hat CVE-2026-41940 mittlerweile in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und setzt für Bundesbehörden eine strikte Patch-Frist von nur vier Tagen an.

Forensische Identifizierung kompromittierter Instanzen

Da der Angriff keine klassischen Spuren in den Webserver-Logs hinterlassen muss, ist die forensische Untersuchung komplex. Administratoren werden angewiesen, ihre Systeme auf spezifische Indikatoren zu prüfen. Ein klarer Hinweis auf eine Kompromittierung sind unerwartete Einträge in den Roh-Sitzungsdateien unter /var/cpanel/sessions/raw/. Wenn dort Sitzungen mit dem Flag user=root oder hasroot=1 existieren, die nicht durch einen legitimen Administrator-Login erzeugt wurden, muss von einem Einbruch ausgegangen werden.

Weitere Warnsignale sind:

• Mehrere pass= Zeilen innerhalb einer einzelnen Sitzungsdatei.
• Unbekannte Prozesse, die mit Root-Rechten laufen.
• Unerwartete SSH-Schlüssel in der Datei /root/.ssh/authorized_keys.
• Neue, unautorisierte Cron-Jobs im System.

Dringende Aktualisierung auf sichere cPanel-Versionen

cPanel hat Notfall-Updates für alle unterstützten Zweige veröffentlicht. Administratoren müssen sicherstellen, dass ihre Installationen mindestens die folgenden Versionsnummern aufweisen: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 oder 11.136.0.5. Auch die WordPress-optimierte Plattform WP Squared erhielt mit Version 136.1.7 einen entsprechenden Fix.

Systeme, die auf „End-of-Life“-Versionen (älter als Version 11.40) laufen, erhalten keine Patches und sind dauerhaft gefährdet. Hier wird ein vollständiges Plattform-Upgrade dringend empfohlen. Angesichts der Geschwindigkeit, mit der KI-Modelle wie Anthropic’s Mythos derzeit in der Lage sind, solche Schwachstellen automatisiert zu finden und auszunutzen, bleibt das Zeitfenster für manuelle Reaktionen minimal.