cPanel CVE-2026-41940 : Guam et 44 000 serveurs piégés

Une porte dérobée ouverte pendant 64 jours dans cPanel

L'éditeur WebPros, propriétaire de cPanel, a publié le 28 avril 2026 un advisory en urgence pour CVE-2026-41940, une vulnérabilité d'authentication bypass affectant cPanel & WHM ainsi que WP Squared, sa plateforme d'hébergement WordPress managée. Notée 9.8 sur l'échelle CVSS, la faille permet à un attaquant non authentifié, en injectant des propriétés de session via un en-tête HTTP malformé, de se promouvoir lui-même en session root pleinement authentifiée, sans jamais toucher au formulaire de connexion. Aucun couplage avec une autre vulnérabilité n'est nécessaire : un seul paquet HTTP suffit.

Le constat le plus inquiétant est venu deux jours après la publication. Le hébergeur managé KnownHost, suivi par l'équipe watchTowr Labs, a documenté une exploitation in the wild remontant au 23 février 2026. Soit environ 64 jours pendant lesquels la faille était activement utilisée comme zero-day, sans aucune communication publique de l'éditeur ni détection par les fournisseurs de sécurité. Webpros a fini par publier le correctif quelques heures après la divulgation, mais le mal était fait : selon la Shadowserver Foundation, plus de 44 000 adresses IP uniques liées à des instances cPanel ont été observées en train de scanner, de brute-forcer ou d'exploiter directement la faille contre les capteurs honeypot du réseau mondial.

Le 3 mai, le gouverneur de Guam Lou Leon Guerrero a ordonné l'ouverture d'une enquête après que plusieurs sites du domaine guam.gov, dont des portails ministériels, sont devenus inaccessibles ou ont affiché des défacements. Les autorités locales ont confirmé que l'incident s'inscrivait dans un événement mondial plus large impactant des systèmes dans plusieurs juridictions, et précisé qu'aucune brèche de données n'était pour l'instant confirmée. Le CERT-FR, le FBI et la CISA ont été notifiés. À ce jour, les services concernés sont en cours de restauration et les autorités évoquent un possible déploiement de rançongiciel parmi les scénarios envisagés.

Côté charge utile, watchTowr Labs et plusieurs équipes de réponse à incident ont identifié un rançongiciel codé en Go pour Linux, baptisé Sorry, qui chiffre les fichiers présents sur le serveur compromis et leur appose l'extension .sorry. La note de rançon redirige les victimes vers la messagerie chiffrée Tox, mode opératoire désormais classique chez les ransomwares ciblant des plateformes Linux mutualisées. D'autres acteurs déposent simplement des web shells PHP ou des cryptomineurs, signe que la faille est exploitée par plusieurs groupes opportunistes en parallèle.

La surface d'attaque concernée est vertigineuse : CVE-2026-41940 touche toutes les versions de cPanel & WHM postérieures à la 11.40, soit l'écrasante majorité des installations en production depuis quinze ans, ainsi que la version 136.1.7 de WP Squared. Selon les estimations de cPanel, ce sont près de 70 millions de domaines qui dépendent de la plateforme dans le monde, dont une part significative chez les hébergeurs mutualisés français et européens. Les fournisseurs comme OVHcloud, Infomaniak ou GoDaddy, qui proposent cPanel en revente, ont émis des communications clients dans la foulée pour confirmer le déploiement automatique du patch.

Les chiffres remontés par Shadowserver montrent toutefois un reflux notable : après un pic à 44 000 IP malveillantes la première semaine, le compteur est retombé à environ 3 540 le dimanche 10 mai, signe que la majorité des installations exposées ont été patchées ou neutralisées. La fenêtre d'exposition reste néanmoins critique pour les administrateurs qui n'ont pas appliqué les correctifs : un serveur compromis peut conserver un web shell injecté pendant des semaines, même après application du patch officiel.

Selon BleepingComputer et Help Net Security, la nature de l'exploitation a évolué : les premières semaines, il s'agissait surtout de probing exploratoire et d'installation de portes dérobées. Depuis fin avril, on observe une multi-actor exploitation avec ransomware Sorry, mineurs de cryptomonnaie, vol d'identifiants SMTP pour des campagnes de phishing, et défacements politiques comme dans le cas de Guam. Le CERT-FR n'a pas encore émis d'alerte ciblée pour la France mais recommande implicitement à tous les hébergeurs concernés de procéder à un audit de compromission post-patch.

Pour les administrateurs, la procédure de réponse recommandée par WebPros et watchTowr consiste à appliquer immédiatement la dernière version de cPanel & WHM via la commande upcp, à rechercher dans les logs HTTP toute requête anormale comportant des en-têtes Cookie ou X-Forwarded-For inhabituels, à inspecter les comptes utilisateurs récemment créés avec des privilèges root, et à recréer les certificats SSL/TLS en cas de doute sur l'intégrité de la chaîne. Une rotation complète des mots de passe FTP, MySQL et webmail est également recommandée pour les serveurs qui ont été exposés depuis février.

Pourquoi c'est important

La saga CVE-2026-41940 illustre l'asymétrie structurelle qui existe entre les éditeurs de plateformes mutualisées et les attaquants. cPanel, malgré sa position dominante sur le marché de l'hébergement web depuis plus de vingt ans, opère encore avec des cycles de divulgation et de patching qui paraissent surannés face à la vitesse d'exploitation moderne. Soixante-quatre jours de zero-day actif avant publication, c'est une éternité dans un écosystème où Mandiant et Microsoft Threat Intelligence documentent désormais des temps moyens d'exploitation post-disclosure inférieurs à 24 heures pour les CVE critiques.

L'affaire Guam montre aussi à quel point les hébergements mutualisés sont devenus un point d'attaque indirect contre les administrations publiques. Les autorités locales d'îles ou de territoires d'outre-mer, qui ne disposent pas toujours de SOC souverains, externalisent fréquemment leurs sites institutionnels vers des prestataires utilisant cPanel. Une faille dans le panneau de contrôle de l'hébergeur devient mécaniquement une faille d'Etat. Le scénario est transposable à de nombreux pays européens, y compris la France où les collectivités territoriales s'appuient massivement sur des hébergeurs régionaux opérant cPanel.

Sur le plan réglementaire, cette campagne tombe au moment où la directive NIS2 entre dans sa phase active d'enforcement avec les premières amendes administratives notifiées au premier trimestre 2026. Les hébergeurs concernés relèvent désormais explicitement de la catégorie des fournisseurs de services numériques essentiels, et toute compromission massive ayant un impact transfrontalier devra être notifiée aux ANSSI nationales sous 24 heures. Les fournisseurs qui n'ont pas patché à temps s'exposent à des sanctions pouvant aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial.

Enfin, le déploiement du ransomware Sorry sur des serveurs Linux mutualisés marque une évolution préoccupante. Pendant longtemps, les écosystèmes Linux d'hébergement web étaient considérés comme des cibles secondaires pour les opérateurs de rançongiciels, plus intéressés par les environnements Active Directory et les hyperviseurs VMware. La généralisation d'encrypteurs Linux écrits en Go ou Rust, parfaitement adaptés aux environnements mutualisés massifs, signale que le marché du rançongiciel s'industrialise sur ces cibles à forte densité de données monétisables. Pour un hébergeur, perdre un serveur, c'est désormais perdre potentiellement plusieurs milliers de sites clients en une seule attaque, avec à la clé des poursuites en cascade.

Ce qu'il faut retenir

• CVE-2026-41940 reste exploitable sur toutes les instances cPanel & WHM antérieures au patch du 28 avril 2026 ; la mise à jour via upcp est prioritaire absolue.
• Un patch ne suffit pas : auditer les logs depuis le 23 février, rechercher les web shells injectés et faire tourner mots de passe et certificats sur les serveurs exposés.
• Les hébergements mutualisés doivent être considérés comme un vecteur d'attaque indirect contre les administrations publiques : la gouvernance fournisseur devient un sujet NIS2 à part entière.