Thought Leadership
Eine Sicherheitslücke in cPanel und WHM gefährdet 70 Millionen Domains. Angreifer können Root-Rechte ohne Passwort erlangen.
Das Internet verzeichnet eine der folgenschwersten Sicherheitslücken im Bereich der Web-Infrastruktur der letzten Jahre. Eine kritische Schwachstelle in den weit verbreiteten Administrations-Oberflächen cPanel und WebHost Manager (WHM) ermöglicht es unbefugten Dritten, die gesamte Authentifizierung zu umgehen und administrative Privilegien auf Root-Ebene zu erlangen. Da diese Systeme schätzungsweise für das Management von 70 Millionen Domains weltweit verantwortlich sind, stufen Experten den Vorfall als potenzielles Desaster für die globale Web-Sicherheit ein. Die Schwachstelle wird unter der Kennung CVE-2026-41940 geführt und hat mit einem CVSS-Score von 9,8 fast den maximalen Bedrohungsgrad erreicht, wie The Register berichtet.
Carriage Return Line Feed Fehler
Die Ursache der Sicherheitslücke liegt in einem sogenannten Carriage Return Line Feed (CRLF) Fehler. Dieser tritt auf, wenn eine Anwendung Benutzereingaben nicht korrekt filtert, bevor sie diese in Protokoll-Header oder andere sensible Datenstrukturen übernimmt. Bei den betroffenen Versionen von cPanel und WHM führt dieser Mangel dazu, dass Angreifer durch speziell präparierte Eingaben den Kontrollfluss der Software manipulieren können.
Der Angriffsweg ist technisch bemerkenswert simpel gestaltet. Ein Angreifer provoziert zunächst einen fehlgeschlagenen Anmeldeversuch, um ein technisches Sitzungscookie zu erhalten. Anschließend sendet er eine Anfrage mit einem manipulierten Header, der eine Anweisung zur Rangerhöhung auf Root-Status enthält. In den ungepatchten Versionen der Software ist es möglich, einen bestimmten Hex-Wert aus der Kommunikation zu entfernen. Dies verhindert, dass das System die bösartigen Befehle verschlüsselt oder validiert. In der Folge wird der Befehl zur Rechteausweitung im Klartext verarbeitet und als vertrauenswürdig eingestuft. Damit erhält der Angreifer uneingeschränkten Zugriff auf sämtliche Funktionen des Servers.
Verdacht auf langanhaltende Zero-Day-Ausnutzung
Besonders besorgniserregend sind Informationen aus Fachkreisen der IT-Sicherheit. Daniel Pearson, CEO des Hosting-Anbieters KnownHost, wies darauf hin, dass die Schwachstelle möglicherweise bereits seit mindestens 30 Tagen als Zero-Day aktiv ausgenutzt wurde. Sollte sich dieser Verdacht bestätigen, hatten Angreifer über einen Monat lang Zeit, unbemerkt in Systeme einzudringen, Daten zu entwenden oder Hintertüren für spätere Zugriffe zu installieren.
Sicherheitsanalysten des Teams watchTowr vergleichen die Tragweite der Lücke mit einem Generalschlüssel, der nicht nur das Haupttor einer digitalen Festung öffnet, sondern auch Zugang zu jedem einzelnen Raum im Inneren gewährt. Da cPanel und WHM zur Verwaltung von E-Mail-Konten, Datenbanken, Dateitransfers und DNS-Einstellungen genutzt werden, liegen alle damit verbundenen Geheimnisse und Daten offen, sobald ein Server kompromittiert wurde. Auch die Plattform WP Squared, ein spezialisierter Dienst für das Hosting von WordPress-Seiten, ist von der Schwachstelle betroffen.
Maßnahmen für Administratoren und Betreiber
Die Entwickler haben Notfall-Patches für alle unterstützten Versionen von cPanel und WHM veröffentlicht. Da die automatische Update-Funktion bei vielen Systemen standardmäßig aktiviert ist, könnten zahlreiche Server bereits geschützt sein. Dennoch ist eine manuelle Überprüfung der Versionsnummer für alle Administratoren zwingend erforderlich.
Neben dem Einspielen des Patches wird dringend dazu geraten, die Integrität der Systeme zu prüfen. cPanel stellt hierfür ein spezielles Erkennungs-Skript bereit, das nach Anzeichen einer erfolgten Ausnutzung der Lücke sucht. Da eine Kompromittierung während der vermuteten 30-tägigen Zero-Day-Phase nicht ausgeschlossen werden kann, sollten Administratoren zusätzlich die Log-Dateien auf ungewöhnliche Header-Einträge oder manipulierte Sitzungscookies untersuchen. Externe Sicherheitsfirmen haben zudem Artefakt-Generatoren bereitgestellt, die dabei helfen, spezifische Spuren des CRLF-Angriffs zu identifizieren.
Strategische Auswirkungen auf das Webhosting
Dieser Vorfall unterstreicht die Abhängigkeit des modernen Internets von zentralen Verwaltungs-Tools. cPanel und WHM bilden das Rückgrat für Millionen von kleinen und mittelständischen Unternehmen sowie für große Hosting-Provider. Ein Fehler in der Verarbeitung von Eingabedaten, der eigentlich als vermeidbarer Standardfehler gilt, hat hier zu einer globalen Bedrohungslage geführt. Während die Branche in letzter Zeit verstärkt über KI-basierte Angriffsvektoren diskutiert hat, zeigt dieser Fall, dass klassische logische Schwachstellen im Quellcode weiterhin das größte Risiko für die Stabilität und Sicherheit von Online-Diensten darstellen.
Administratoren, die Anzeichen für einen unbefugten Zugriff finden, müssen über den Patch hinausgehende Schritte einleiten. Dazu gehört das Zurücksetzen von Passwörtern, die Überprüfung von SSH-Zugangsschlüsseln und die Validierung der Integrität von Datenbanken. Im schlimmsten Fall kann eine vollständige Neuinstallation des Betriebssystems notwendig sein, um sicherzustellen, dass keine versteckten Persistenzmechanismen auf dem Server verbleiben.
