CVE-2026-41940 : 44 000 serveurs cPanel compromis (CVSS 9.8)

Les faits

Le 28 avril 2026, cPanel a publié un bulletin de sécurité corrigeant CVE-2026-41940, une vulnérabilité critique de bypass d'authentification dans la suite de gestion d'hébergement cPanel & WHM. La faille, notée 9.8 sur l'échelle CVSS v3.1 (vecteur AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), permet à un attaquant non authentifié sur le réseau d'obtenir un accès administrateur racine complet sur n'importe quel serveur cPanel exposé. Selon l'advisory du fournisseur, le correctif est inclus dans les builds 11.110.0.34, 11.112.0.18 et 11.114.0.10, ainsi que dans la dernière version de WP Squared.

L'origine technique de la vulnérabilité est une injection CRLF (Carriage Return Line Feed) dans la chaîne de chargement de session du démon cpsrvd, le service réseau cPanel qui écoute généralement sur les ports 2082, 2083, 2086 et 2087. Lorsqu'un utilisateur non authentifié soumet une requête contenant des séquences \r\n contrôlées dans certains paramètres, cpsrvd écrit ces caractères directement dans un fichier de pré-session. Au prochain parsing du fichier, les lignes injectées sont interprétées comme des champs de session de premier niveau légitimes, dont user=root, hasroot=1 et tfa_verified=1. Le résultat : la session est promue en session racine pleinement authentifiée, contournant à la fois le mot de passe et le second facteur.

D'après les analyses publiées par Rapid7, watchTowr Labs et Hadrian, l'exploitation est triviale et ne nécessite aucune connaissance préalable des comptes existants. Une simple requête HTTPS spécialement formatée vers le port de connexion cpsrvd suffit à obtenir un cookie de session valide pour le compte root. À partir de là, l'attaquant dispose de toutes les API d'administration WHM : création de comptes, exécution de commandes shell via le module Terminal, lecture/écriture de fichiers arbitraires, modification de la configuration des sites hébergés.

La chronologie de l'affaire est particulièrement alarmante. Si la divulgation publique date du 28 avril 2026, plusieurs équipes de threat intelligence — notamment Shadowserver Foundation, Censys et CybelAngel — ont identifié des traces d'exploitation remontant au 23 février 2026, soit plus de deux mois avant la disponibilité du patch. La faille a donc été activement exploitée comme zero-day par des acteurs non identifiés pendant cette fenêtre. Le motif d'attaque le plus fréquent observé est le déploiement d'un encrypteur Linux écrit en Go qui chiffre les fichiers du serveur et leur ajoute l'extension .sorry, accompagné d'une note de rançon.

Au moment de la divulgation, Shodan recensait environ 1,5 million d'instances cPanel directement exposées sur Internet. Le 30 avril 2026, Shadowserver Foundation rapportait au moins 44 000 adresses IP compromises identifiables grâce aux empreintes laissées par les rançongiciels. Censys a de son côté identifié 8 859 hôtes exposant publiquement des répertoires ouverts contenant des fichiers en .sorry, dont 7 135 confirmés comme étant des serveurs cPanel ou WHM. The Hacker News rapporte qu'à partir de début mai, au moins 2 000 IPs distinctes participent à des campagnes ciblées installant un backdoor « Filemanager » destiné à voler les identifiants des sites hébergés et à maintenir un accès persistant.

Le profil d'attaquant est hétérogène. D'après Help Net Security et SOC Prime, au moins trois groupes distincts exploitent activement CVE-2026-41940 : un groupe ransomware financièrement motivé responsable des chiffrements .sorry, un cluster orienté vol de credentials utilisant le backdoor Filemanager, et des acteurs déposant des skimmers JavaScript sur les sites e-commerce hébergés. Cette diversité confirme que l'exploit est désormais largement diffusé dans les communautés cybercriminelles.

Pour les hébergeurs mutualisés et les MSPs, l'impact dépasse le simple cas du serveur compromis. cPanel étant la plateforme dominante de l'hébergement web mondial, un seul serveur compromis expose potentiellement des centaines de sites clients, leurs bases de données, leurs comptes mail et leurs identifiants FTP. Le CERT-FR et plusieurs CSIRTs européens ont émis des alertes appelant à une vérification immédiate de tous les serveurs cPanel exposés, y compris ceux qui auraient été patchés rapidement après le 28 avril, pour rechercher des indicateurs de compromission antérieurs.

Aucun PoC public officiel n'avait été publié au moment de la divulgation, mais plusieurs reproductions indépendantes par des chercheurs (notamment watchTowr) ont confirmé la facilité de l'exploit. Étant donné que les premiers échantillons exploités circulent depuis février, des outils d'exploitation prêts à l'emploi sont aujourd'hui largement disponibles sur les forums clandestins.

Impact et exposition

Toute installation cPanel & WHM exposée à Internet et non patchée est vulnérable, sans aucune condition préalable. L'attaque ne nécessite ni compte utilisateur, ni session existante, ni interaction utilisateur. Il suffit que le port de connexion cpsrvd soit accessible — ce qui est le cas par défaut sur les ports 2083 et 2087.

Les organisations les plus exposées sont les hébergeurs mutualisés, les revendeurs cPanel, les agences web qui gèrent les sites de leurs clients sur leur propre infrastructure, ainsi que les TPE/PME utilisant des serveurs dédiés auto-administrés avec WHM. WP Squared, la solution managée WordPress de cPanel, est également concernée.

L'exploitation active est confirmée à grande échelle. Au-delà du chiffrement .sorry, les attaquants utilisent l'accès root pour voler les bases de données MySQL clients, exfiltrer les sauvegardes, planter des webshells dans tous les sites hébergés, et abuser les fonctions email du serveur pour des campagnes de spam et phishing. Plusieurs rapports font état d'une utilisation des serveurs compromis comme nœuds de proxy résidentiel pour blanchir d'autres opérations malveillantes.

Sur le plan stratégique, la fenêtre de zero-day de plus de deux mois signifie qu'un nombre indéterminé de serveurs aujourd'hui « patchés » pourraient en réalité contenir des backdoors résiduels, des comptes administrateurs créés par l'attaquant, ou des binaires modifiés. Une simple mise à jour ne suffit pas : un audit complet d'intégrité est indispensable.

Recommandations immédiates

• Appliquer immédiatement la mise à jour cPanel & WHM 11.110.0.34, 11.112.0.18 ou 11.114.0.10 selon la branche utilisée — advisory : cPanel Security Advisory du 28 avril 2026.
• Pour les serveurs exposés au moins depuis février 2026 : considérer le système comme potentiellement compromis et lancer une investigation forensique complète, ne pas se contenter du patch.
• Restreindre l'accès aux ports cpsrvd (2082, 2083, 2086, 2087) à des IPs de gestion connues via le firewall — défense en profondeur même après le patch.
• Faire tourner immédiatement tous les secrets : mots de passe root, clés SSH, tokens API WHM, mots de passe cPanel utilisateurs, mots de passe MySQL, tokens des plugins tiers.
• Rechercher les indicateurs de compromission : fichiers d'extension .sorry sur le filesystem, processus Go inhabituels, comptes WHM créés en dehors des heures normales, ajout de clés SSH dans /root/.ssh/authorized_keys, modifications récentes de /etc/passwd et /etc/shadow.
• Inspecter les fichiers de session cPanel sous /var/cpanel/sessions/ pour détecter des entrées avec hasroot=1 inattendues.
• Vérifier l'absence du backdoor Filemanager et de webshells PHP dans les répertoires document_root des sites hébergés.
• Forcer la réinitialisation des mots de passe pour tous les clients hébergés et signaler la compromission au CNIL si des données personnelles ont été exposées.