Vulnerabilità Grave di cPanel Sfruttata per Attaccare Reti Governative e di Fornitori di Servizi Gestiti Recentemente è emersa una vulnerabilità critica nel noto pannello di controllo cPanel, che ha attirato l'attenzione di attaccanti informatici. Questi hanno approfittato della situazione per…
Vulnerabilità Grave di cPanel Sfruttata per Attaccare Reti Governative e di Fornitori di Servizi Gestiti
Recentemente è emersa una vulnerabilità critica nel noto pannello di controllo cPanel, che ha attirato l’attenzione di attaccanti informatici. Questi hanno approfittato della situazione per colpire enti governativi e militari in diverse nazioni del Sud-est asiatico, oltre a un gruppo selezionato di fornitori di servizi gestiti (MSP) e hosting in Paesi come Filippine, Laos, Canada, Sudafrica e Stati Uniti. La scoperta è stata effettuata da Ctrl-Alt-Intel il 2 maggio 2026.
Un Attacco Mirato
Il problema principale ruota attorno alla vulnerabilità nota come CVE-2026-41940. Questa falla nel sistema di autenticazione di cPanel e WebHost Manager (WHM) consente agli attaccanti di bypassare i controlli di accesso, permettendo il takeover del pannello di controllo da parte di utenti malintenzionati. L’indirizzo IP utilizzato per l’attacco, “95.111.250[.]175”, è stato principalmente orientato verso domini delle forze armate e governi della regione, in particolare le Filippine con il suffisso .mil.ph e .ph, e il Laos con *.gov.la.
Gli aggressori hanno fatto uso di prove di concetto disponibili pubblicamente, facilitando la diffusione della vulnerabilità a una vasta gamma di potenziali attaccanti. Tale situazione è allarmante, in particolare per gli utenti e le aziende italiane che utilizzano cPanel; esse possono trovarsi a rischio se non implementano tempestivamente misure di protezione adeguate.
Tecniche di Attacco Avanzate
Inoltre, è emerso che gli attaccanti avevano già messo a segno un colpo nei confronti di un portale di formazione del settore della difesa indonesiana, utilizzando una combinazione di iniezione SQL autenticata e esecuzione di codice remoto. Qui, gli aggressori avevano accesso ai credenziali legittime, il che ha semplificato ulteriormente le operazioni illecite. Il meccanismo sfruttato coinvolgeva script in grado di eludere i captcha, sottraendo il valore previsto direttamente dai cookie di sessione.
Ciò evidenzia come i criminali informatici siano sempre più sofisticati e capaci di manovrare in modo proattivo i sistemi, insistendo sull’importanza di adottare misure di sicurezza preventivamente.
Aiuti Tecnici e Nuove Sorgenti di Minaccia
L’analisi ha rivelato che il gruppo di attacco utilizza un framework di comando e controllo chiamato AdapdixC2 per controllare gli endpoint compromessi. Per garantire un accesso persistente alle reti interne delle vittime, sono stati impiegati strumenti come OpenVPN e Ligolo. Queste tecniche avanzate permettono agli attaccanti di movimentarsi all’interno delle reti corporea e di esfiltrare dati sensibili, come una notevole quantità di documenti del settore ferroviario cinese.
Nel giro di 24 ore dalla divulgazione pubblica della vulnerabilità, si è registrato un incremento significativo dell’attività malevola, con almeno 44.000 indirizzi IP compromessi coinvolti in attacchi di scansione e forza bruta. Fortunatamente, il numero di attacchi è diminuito a 3.540 entro il 3 maggio.
Conclusione: Adottare Misure Preventive
La vulnerabilità di cPanel rappresenta una seria minaccia, non solo per i soggetti nel Sud-est asiatico, ma per qualsiasi utilizzo del software a livello globale, inclusa l’Italia. È fondamentale che le aziende e gli utenti patchino i loro sistemi e rivedano le politiche di sicurezza. In un contesto in cui le minacce informatiche sono in costante evoluzione, la prevenzione è l’unica strategia vincente per proteggere dati e infrastrutture vitali.
