Los piratas informáticos violan los servidores gubernamentales y militares aprovechando la vulnerabilidad de cPanel

Una sofisticada campaña de confrontación dirigida al gobierno y la infraestructura militar del sudeste asiático, que combina la rápida exploit de un bypass de autenticación crítico de cPanel con una cadena de exploits de zero-day personalizada contra un portal del sector de defensa de Indonesia y, en última instancia, gira para exfiltrar más de 4 GB de documentos ferroviarios chinos confidenciales. El vector de acceso inicial de la campaña se centró en CVE-2026-41940, una omisión de autenticación CVSS 9.8 crítica en cPanel y WHM que afecta a todas las versiones posteriores a la v11.40.

La exploit se confirmó en la naturaleza antes de que se lanzara el parche de cPanel el 28 de abril de 2026, y CISA posteriormente lo agregó a su catálogo de vulnerabilidades explotadas conocidas. En esta campaña, la exploit de cPanel representó solo un componente de una operación más amplia y alarmante descubierta desde un servidor de comando y control (C2) expuesto. Vulnerabilidad de cPanel explotada Más significativamente, Ctrl-Alt-Intel recuperó un exploit personalizado dirigido a un portal de capacitación del sector de defensa de Indonesia. El actor de la amenaza ya poseía credenciales válidas y evitó el mecanismo CAPTCHA del portal leyendo el valor CAPTCHA esperado directamente de la cookie de sesión emitida por el servidor, lo que hizo que el desafío fuera completamente ineficaz sin resolverlo.

Se insta a las organizaciones que ejecutan cPanel/WHM a actualizar inmediatamente a la última versión y auditar los registros del servidor en busca de signos de manipulación de sesiones basadas en CRLF. La publicación Los piratas informáticos violan los servidores gubernamentales y militares al explotar la vulnerabilidad de cPanel apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗