CVE-2026-41940 : cPanel exploité contre des États et des MSP

Les faits

Le 2 mai 2026, l'équipe de threat intelligence Ctrl-Alt-Intel a publié un rapport détaillant une campagne d'exploitation active de la vulnérabilité CVE-2026-41940 contre des cibles gouvernementales, militaires et des prestataires d'hébergement. La faille est un contournement d'authentification dans le flux de login de cPanel et WebHost Manager (WHM), affectant les versions postérieures à la 11.40 — c'est-à-dire l'écrasante majorité des installations en production. La classification CWE est CWE-287 (Improper Authentication), et la cotation CVSS publiée par cPanel atteint 9.3.

Le mode opératoire observé est d'une simplicité brutale. Un attaquant non authentifié envoie une requête HTTP vers le port d'administration cPanel (port 2087 par défaut pour WHM, 2083 pour cPanel utilisateur) avec une séquence d'en-têtes spécifique qui désactive le contrôle d'authentification. Le serveur retourne alors un cookie de session valide, équivalent à celui d'un administrateur racine. Une fois cette session obtenue, l'attaquant dispose des mêmes privilèges qu'un opérateur d'hébergement légitime : création de comptes, exécution arbitraire de commandes via les terminaux WHM, modification de la configuration Apache/Nginx, accès aux bases de données MySQL et PostgreSQL provisionnées sur le serveur.

L'analyse forensique de Ctrl-Alt-Intel attribue la majorité de l'activité observée à une IP unique, 95.111.250.175, hébergée chez un fournisseur bulletproof bulgare. Cet acteur a utilisé des proof-of-concept publics dès leur disponibilité pour scanner massivement Internet, puis a ciblé spécifiquement des domaines gouvernementaux et militaires aux Philippines et au Laos, ainsi que des MSP et hébergeurs au Canada, en Afrique du Sud et aux États-Unis. Un second incident, plus sophistiqué, vise un portail de formation militaire indonésien : l'acteur y combine CVE-2026-41940 pour l'accès initial, puis enchaîne avec une injection SQL et un RCE après obtention de credentials internes valides.

Help Net Security, dans une publication du 30 avril, indique que la vulnérabilité a probablement été exploitée comme zero-day pendant plusieurs mois avant que cPanel ne publie son patch. Cette information change radicalement le calcul de risque pour les hébergeurs concernés : l'absence de logs d'attaque récents ne signifie pas l'absence de compromission, mais potentiellement une compromission ancienne, persistée et passée inaperçue. Le 4 mai, Help Net Security confirmait l'élargissement du nombre d'acteurs exploitant la faille, avec une campagne désormais multi-acteurs combinant exfiltration, déploiement de ransomware, défacement de sites et déploiement de malware générique.

Le Register, dans un article publié le 1er mai sous le titre Critical cPanel exploited: Millions of sites could be hit, rappelle que cPanel reste la plateforme de gestion d'hébergement mutualisé la plus déployée au monde, avec selon les estimations entre 30 et 60 % de parts de marché chez les hébergeurs partagés. Cette concentration en fait une cible de choix pour l'attaque par effet de cascade : compromettre une seule instance WHM peut donner accès à des centaines, voire milliers de sites web hébergés sous le même opérateur, ainsi qu'aux bases de données et aux comptes mail correspondants.

CISA n'a pas formellement ajouté CVE-2026-41940 à son catalogue KEV au moment de la rédaction, mais The Hacker News confirme que la faille remplit déjà tous les critères d'éligibilité : preuve d'exploitation active, vendor patché, instructions claires de remédiation. Une inscription rapide au KEV est probable dans les 7 jours qui viennent, ce qui imposera aux agences fédérales américaines un délai de patch contraignant.

Pour le marché français, le risque concerne en priorité les hébergeurs grand public et PME — qu'il s'agisse de OVHcloud sur ses offres mutualisées, de tiers spécialisés type LWS, PlanetHoster, Hostinger France, ou des dizaines de petits hébergeurs régionaux. Les agences web et freelances qui louent des serveurs dédiés ou VPS pour leurs propres clients sont également exposés s'ils utilisent cPanel/WHM pour la gestion. Une instance WHM compromise expose typiquement entre 50 et 500 sites web hébergés.

Impact et exposition

L'exploitation de CVE-2026-41940 produit une compromission complète du serveur d'hébergement. À partir du moment où l'attaquant détient une session WHM administrateur, il peut : voler tous les fichiers de tous les comptes hébergés, dumper toutes les bases MySQL/PostgreSQL, lire tous les emails stockés en local, créer des backdoors persistantes via les hooks PHP/Python, ajouter des comptes administrateurs masqués, et déployer une charge utile (cryptominer, webshell, ransomware) à l'échelle de tout le serveur. Le périmètre d'impact est multiplié par le nombre de comptes hébergés — un seul WHM compromis peut équivaloir à des centaines de breaches individuels.

Recommandations

• Vérifier sans délai la version cPanel/WHM en production. Toute version postérieure à 11.40 est concernée jusqu'à la branche corrigée. Appliquer le patch officiel cPanel publié fin avril 2026
• Auditer les logs WHM et cPanel pour détecter les sessions administratives sans login préalable, particulièrement depuis janvier 2026 — la fenêtre d'exploitation zero-day est antérieure à la divulgation
• Bloquer l'IP 95.111.250.175 et toute IP issue du même bloc bulgare /24 au niveau pare-feu, en tant qu'IoC immédiat
• Restreindre l'accès aux ports 2083 et 2087 aux seules IP d'administration via une whitelist firewall ou un VPN dédié
• Activer la 2FA WHM administrateur si ce n'est pas déjà le cas (la 2FA n'empêche pas le bypass d'auth, mais limite les actions post-exploitation)
• Pour les MSP français : informer proactivement les clients hébergés, lancer une rotation forcée des mots de passe FTP/MySQL, vérifier l'intégrité des fichiers via des hashs de référence