cPanel CRLF : 1,5M serveurs root en 1 retour chariot #Shorts

CVE-2026-41940. Un saut de ligne dans Basic Auth, et le parser de cpsrvd écrit hasroot=1 dans la session. Pas besoin de mot de passe valide. Score CVSS 9,8. Découverte par Sina Kheirkhah de watchTowr Labs, divulguée le 28 avril 2026.

Les chiffres :
- 1,5 million d'instances cPanel exposées sur internet (Shodan, via Rapid7)
- 44 000 IPs malicieuses observées par Shadowserver Foundation en 24 heures
- Exploitation in the wild documentée depuis le 23 février 2026 - deux mois de zero-day silencieux avant le patch
- CISA KEV Catalog : ajouté le 1er mai 2026

La mécanique : injection CRLF dans le header Basic Auth. Le password n'est sanitizé que des null bytes - les retours chariot passent. Le parser de session écrit chaque ligne comme une key-value indépendante. Les attaquants injectent hasroot=1, tfa_verified=1, successful_internal_auth_with_timestamp=… dans /var/cpanel/sessions/raw/. Au prochain request, Cpanel::Session::Modify promeut ces clés dans le cache JSON. Game over.

Cibles confirmées (Ctrl-Alt-Intel, Censys, Shadowserver) :
- Domaines militaires philippins (.mil.ph) et gouvernementaux (.ph)
- Domaines gouvernementaux laotiens (.gov.la)
- MSPs au Canada, en Afrique du Sud, aux Philippines, au Laos et aux États-Unis
- Portail défense indonésien (exploit custom)

Outils déployés : AdaptixC2, OpenVPN et Ligolo pour la persistence. Botnets Mirai et ransomware Sorry chargés en parallèle. PoC public sur GitHub (watchTowr).

Versions patchées (cPanel/WHM) : 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20, 11.136.0.5.

Verdict Watchpost : si t'as un cPanel exposé, le patch ne suffit pas. Audit forensic obligatoire - l'exploitation a duré deux mois, et les attaquants laissent des persistences. Rotate les credentials, contrôle les sessions actives, regarde si le ransomware Sorry est déjà déployé.

Sources :
- watchTowr Labs : The Internet Is Falling Down (CVE-2026-41940) par Sina Kheirkhah
- The Hacker News : Critical cPanel Vulnerability Weaponized to Target Government and MSP Networks
- Help Net Security : cPanel zero-day exploited for months before patch release
- Cybersecurity Dive : Critical vulnerability in cPanel leads to widespread exploitation
- Rapid7 : ETR CVE-2026-41940 cPanel & WHM Authentication Bypass
- Picus Security : CVE-2026-41940 Explained
- Cato Networks : Threat Brief CVE-2026-41940
- CISA KEV Catalog (1er mai 2026)

Watchpost - Tech : l'actu tech sans bullshit.

#Shorts #cPanel #Cybersécurité #CVE #CRLF #ZeroDay #WHM #watchTowr #Shadowserver #RCE #InfoSec #DevSecOps #TechNews #Hacking #Vulnérabilité #OpenSource #Watchpost

Видео cPanel CRLF : 1,5M serveurs root en 1 retour chariot #Shorts канала Watchpost - Tech