De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft alle federale instanties opdracht gegeven om vóór 3 mei een kritieke beveiligingskwetsbaarheid, CVE-2026-41940, te patchen die kritieke servers en websitebeheersystemen treft. De kwetsbaarheid komt voor in cPanel- en WHM-producten die eigendom zijn van WebPros International. Dit op Linux gebaseerde configuratiescherm voor websitehosting wordt veel gebruikt om websites en servers te beheren. Miljoenen domeinnamen over de hele wereld zijn afhankelijk van gerelateerde oplossingen.

Het incidentresponsteam van beveiligingsbedrijf Rapid7 zei dat een succesvolle exploit een aanvaller de volledige controle zou kunnen geven over het systeem dat cPanel host, de configuratie, databases en gehoste websites. De fout heeft een CVSS-risicoscore van 9,8 op 10. Experts waarschuwen dat hackers dit kunnen gebruiken om servers volledig in gevaar te brengen, gehoste gegevens te stelen of te manipuleren, en ernstiger kettingreacties kunnen veroorzaken, zoals grootschalige serviceonderbrekingen.

Verschillende cyberbeveiligingsbedrijven hebben erop gewezen dat er momenteel duizenden cPanel-instanties op internet zijn die mogelijk door dit beveiligingslek zijn getroffen. CISA bevestigde donderdag dat de kwetsbaarheid in het wild wordt uitgebuit. Naast het vrijgeven van oplossingen heeft cPanel ook een tool gelanceerd waarmee bedrijven kunnen detecteren of hun omgeving is gecompromitteerd.

De fout werd deze week voor het eerst onthuld door experts van cyberbeveiligingsbedrijf watchTowr, die ook tools hebben vrijgegeven waarmee verdedigers binnen hun activa risicovolle hosts kunnen identificeren. Andere instanties hebben vervolgens bewijsmateriaal openbaar gemaakt waaruit bleek dat daarmee verband houdende aanvallen al in februari van dit jaar waren begonnen.

De Amerikaanse domeinnaamregistreerder Namecheap heeft deze week een bericht uitgegeven om klanten eraan te herinneren dat de maatregelen die het heeft genomen om de kwetsbaarheid aan te pakken, de gebruikerstoegang tot cPanel- en WHM-beheerinterfaces voor een bepaalde periode kunnen beperken. WatchTowr CEO Benjamin Harris zei dat binnen enkele uren na het eerste beveiligingsadvies van cPanel bijna elke grote hostingprovider firewallmaatregelen implementeerde om hun klanten de toegang tot hun producten te blokkeren.

"Hosting.com, Namecheap, KnownHost, HostPapa, InMotion, ze trappen allemaal op de noodrem omdat het alternatief is om te zien hoe hun hele klantenbestand wordt overgenomen in een live aanval", zei Harris. Hij voegde eraan toe dat het voelt alsof “het halve internet in brand staat” en dat dit “nieuwe normaal” waarschijnlijk steeds vaker zal voorkomen naarmate AI op grotere schaal wordt gebruikt bij het zoeken naar kwetsbaarheden.