استغلال ثغرة cPanel بشكل نشط

بعد ما يقرب من أسبوع على قيام مطوري برنامج إدارة خوادم الويب الشهير cPanel وWebHost Manager (WHM) بتنبيه المستخدمين إلى وجود خلل خطير في برمجياتهم، بدأ المخترقون الآن باستغلاله بشكل واسع للسيطرة على آلاف المواقع التي تعتمد على هذا البرنامج الضعيف.
اعتبارًا من يوم الاثنين، هناك أكثر من 550,000 خادم يحتمل أنه عرضة للخطر ويشغّل cPanel، وهو رقم ظل مستقرًا لعدة أيام. وفي الوقت نفسه، يوجد حوالي 2,000 نسخة من cPanel يُعتقد أنها تعرضت للاختراق، بعدما كانت حوالي 44,000 يوم الخميس. هذه الإحصاءات نشرتها منظمة Shadowserver، وهي منظمة غير ربحية تقوم بمسح الإنترنت ومراقبته لرصد الهجمات السيبرانية.
يوم الخميس، حذّر باحثون في الأمن السيبراني من أن المخترقين بدأوا بالفعل باختراق الخوادم التي تعمل بنظامي cPanel وWHM، مستغلين ثغرة سمحت لهم بالحصول على تحكم كامل والسيطرة على الخوادم المستهدفة عبر لوحات التحكم الخاصة بها.
وبحسب ما ذكره موقع Bleeping Computer، يمكن ملاحظة جزء من حجم الضرر حتى الآن من خلال قيام Google بفهرسة عشرات المواقع التي كانت في وقت ما تعرض رسالة من مجموعة من المخترقين تدّعي أنهم قاموا بتشفير ملفات الضحايا في هجوم فدية (ransomware). بعض تلك المواقع أصبحت تعمل بشكل طبيعي الآن.
تضمنت رسالة طلب الفدية معرّف دردشة للتواصل مع المخترقين، الذين لم يردوا فورًا على طلب TechCrunch للتعليق.
وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) حذّرت يوم الخميس من أن هذه الثغرة، التي يتم تتبعها بالرمز CVE-2026-41940، يتم استغلالها بالفعل في الواقع، وأضافتها إلى قائمة الثغرات المعروفة والمستغلة (Known Exploited Vulnerabilities – KEV). كما طلبت الوكالة من الجهات الحكومية تطبيق التحديثات الأمنية بحلول يوم الأحد. ولم ترد الوكالة فورًا على طلب للتعليق بشأن ما إذا كانت تستطيع تأكيد أن الجهات الحكومية قد قامت بالفعل بتحديث خوادمها.
من المرجح أن الهجمات ضد خوادم الويب التي تعمل بـ cPanel وWHM كانت مستمرة منذ وقت أطول بكثير قبل الإعلان عن الثغرة. ووفقًا للرئيس التنفيذي لشركة KnownHost دانيال بيرسون، فإن شركته رصدت محاولات هجوم تعود إلى 23 فبراير.
المتحدث باسم cPanel، والذي لم يُذكر اسمه، أكد استلام طلب TechCrunch للتعليق، لكنه لم يقدم أي رد.
الخبر منقول ومترجم من TechCrunch.
المصدر