april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
Company News
mobile-menu-icon
Dataintrång

Kritisk sårbarhet i cPanel utnyttjades i månader före patch

Blog Reading Time 4 Lästid / maj 5, 2026

En kritisk sårbarhet för autentiseringsförbikoppling i cPanel har utnyttjats aktivt sedan februari, två månader innan leverantören släppte en patch. Sårbarheten, CVE-2026-41940 har ett CVSS-värde på 9,8 och gör det möjligt för oautentiserade angripare ta fullständig administrativ kontroll över webbhotellservrar. Som mest registrerade Shadowserver Foundation 44 000 komprometterade IP-adresser som deltog i skanningar och brute force-attacker.

cPanel offentliggjorde sårbarheten 28 april 2026, men KnownHost vd Daniel Pearson bekräftade för säkerhetsforskare att hans företag upptäckte utnyttjandeförsök redan 23 februari. Sårbarheten påverkar alla versioner av cPanel och WebHost Manager som släppts efter v11.40, vilket enligt Shodan-data från Rapid7 omfattar cirka 1,5 miljoner internetexponerade installationer.

Autentiseringsförbikopplingen beror på bristande validering i tjänstedemonen cpsrvd. Angripare kan manipulerar whostmgrsession-cookien genom att utelämna ett förväntat segment och därmed helt kringgå krypteringsprocessen. Det krävs varken zero-day exploits eller avancerad skadlig kod – en felaktig utformad cookie räcker för att ta över en server.

Ransomware-kampanjer riktas mot myndigheter

Utnyttjandet har utvecklats bortom opportunistiska angrepp. Forskare från Censys identifierade 8 859 värdar som exponerade kataloger med filnamn som slutar på ”.sorry”, signaturen för en Go-baserad Linux-ransomware som krypterar filer och raderar säkerhetskopior för att förhindra återställning. Av dessa bekräftades 7 135 köra cPanel eller WHM.

Säkerhetsföretaget Ctrl-Alt-Intel upptäckte den 2 maj en exponerad stagingserver som avslöjade riktade operationer mot myndigheter och militära organisationer. Angriparna fokuserade bland annat på försvarsdomäner i Filippinerna (*.mil.ph) och Laos (*.gov.la), Samt på leverantörer av hanterade tjänster i Kanada, Sydafrika och USA. Gruppen använde allmänt tillgänglig proof-of-concept-kod för CVE-2026-41940, men distribuerade också en separat anpassad exploitkedja mot en indonesisk portal för militär utbildning.

Omfattningen av automatiserat utnyttjande sjönk från 44 000 komprometterade adresser 30 april till 3 540 den 3 maj, enligt Shadowserver-data. Nedgången tyder antingen på framgångsrik patchning eller på att angripare har börjat fokusera på mer värdefulla mål.

CISA klassar sårbarheten som aktivt utnyttjad

USA:s cybersäkerhetsmyndighet CISA lade till CVE-2026-41940 i sin katalog över kända utnyttjade sårbarheter och kräver att federala myndigheter installerar patchar inom fyra dagar. Den korta tidsramen speglar allvaret i de pågående attackerna snarare än en teoretisk risk.

Leverantörens hantering av sårbarheten väecker samtidigt frågor. Enligt en källa på webhosting.today rapporterades problemet till cPanel cirka två veckor före den offentliga rådgivningen 28 april, men det initiala svaret från leverantören var att ”att ingenting var fel”. Det är fortfarande oklart om rapportören då kände till att sårbarheten redan utnyttjades i praktiken.

När informationen offentliggjordes agerade många Webbhotellsleverantörer agerade snabbt. KnownHost blockerade omedelbart inloggningsportar för WHM och cPanel i hela sitt nätverk innan säkerhetsuppdateringar implementerades- ett tillvägagångssätt som även andra större aktörer följde.

Patcha omedelbart och kontrollera system för intrång

cPanel släppte patchade versioner 28 april, 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.124.0.35, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 och 11.136.0.5. WP Squared-användare behöver version 136.1.7.

Administratörer kan verifiera patchstatus genom att köra kommandot /usr/local/cpanel/cpanel -V och verifiera att versionsnumret motsvarar en uppdaterad utgåva. Organisationer som använder webbhotellsleverantörer bör bekräfta patchstatus direkt med sin leverantör snarare än att utgå från att uppdateringar har genomförts.

För system som visar tecken på intrång har Linux-leverantören Nocinit beskrivit hur vanliga persistensmekanismer kan avlägsnas, såsom stulna inloggningsuppgifter, planterade SSH-nycklar, dolda cron-jobb, kvarvarande API-tokens och sudoers-backdoors. Om ett intrång bekräftas är återställning från rena säkerhetskopior den säkraste åtgärden.

cPanel har även tillhandahållit ett detekteringsskript för att hjälpa kunder identifiera kända indikatorer. Med tanke på att angripare kan ha haft oupptäckt åtkomst i flera månader bör alla internetexponerade cPanel-installationer betraktas som potentiellt komprometterade tills motsatsen har bevisats.

Referenser

  1. Over 40,000 Servers Compromised in Ongoing cPanel Exploitation
  2. cPanel Zero-Day Exploited for Months Before Patch Release
  3. Critical cPanel Vulnerability Weaponized to Target Government Networks
  4. CVE-2026-41940 cPanel & WHM Authentication Bypass
  5. cPanel Authentication Bypass Bug Exploited in the Wild

This post is also available in: English

Related News

ShinyHunters Steals Student Data From 275 Million Canvas Users

ShinyHunters stjäl studentdata från 275 miljoner Canvas-användare

Cyber News Calendar icon maj 6, 2026

CISA listar nio år gammal Linux-bugg efter aktiva angrepp

CISA lade på fredagen till CVE-2026-31431 i sin katalog över Known Exploited Vulnerabilities, vilket bekräftar att en nio år gammal sårbarhet i Linux-kärnan utnyttjas i…

Cyber News Calendar icon maj 4, 2026
Single Git Push Could Have Compromised Millions of GitHub Repositories

Ett enda git push kunde kompromettera miljontals GitHub-repositorier

Cyber News Calendar icon april 30, 2026

ShinyHunters hotar läcka data från Udemy, Zara och 7-Eleven

ShinyHunters påstår sig ha stulit 1,4 miljoner poster från lärplattformen Udemy och hotar att släppa datan tillsammans med stulen information från Zara och 7-Eleven. Brottsgruppen…

Cyber News Calendar icon april 28, 2026
Microsoft Defender Targeted by Three Zero-Days, Two Remain Unpatched

Microsoft Defender drabbat av tre zero-days – två fortfarande opatchade

Cyber News Calendar icon april 24, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss