Lỗi đăng nhập của cPanel khiến 70 triệu website mở toang cho bất kỳ ai

Một lỗ hổng nghiêm trọng cho phép vượt qua xác thực trong cPanel và WHM đã để cho kẻ tấn công bước thẳng qua cửa chính của bất kỳ bảng điều khiển nào lộ ra internet, không cần tên đăng nhập, không cần mật khẩu. Lỗ hổng được ghi nhận với mã CVE-2026-41940 và điểm CVSS 9,8 trên 10, ảnh hưởng tới mọi phiên bản phần mềm còn được hỗ trợ — phần mềm đang quản lý khoảng 70 triệu tên miền trên toàn cầu. Các nhà nghiên cứu an ninh xác nhận đã có những chiến dịch khai thác tích cực đang lưu hành khi bản vá khẩn cấp được tung ra — đối với nhiều hãng hosting, câu hỏi không còn là máy chủ của họ có lỗ hổng hay không, mà là họ có bị xâm nhập trước khi bản cập nhật kịp đến nơi hay không.

Lỗ hổng nằm trong logic tải và lưu phiên đăng nhập của cPanel, được theo dõi nội bộ với mã CPANEL-52908. Nói cho dễ hiểu, kẻ tấn công có thể gửi một yêu cầu đăng nhập có cấu trúc bị làm sai và nhận về một bộ chứng chỉ phiên hợp lệ cho tài khoản mà chính kẻ đó chưa từng xác thực — trong trường hợp xấu nhất là quyền truy cập root vào WHM, bảng điều khiển phía máy chủ kiểm soát các tài khoản hosting, định tuyến email, chứng chỉ SSL và dịch vụ cơ sở dữ liệu. Sáu nhánh phiên bản cần được vá khẩn cấp: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 và 11.136.0.5. Các máy chủ vẫn đang chạy phiên bản cPanel đã hết hỗ trợ sẽ không nhận được bản vá nào và phải được xử lý như đã bị xâm nhập tích cực.

cPanel là lớp bảng điều khiển tiêu chuẩn của hạ tầng hosting chia sẻ — thứ đang nâng đỡ phần lớn web tiêu dùng. Một cuộc xâm nhập thành công vào một máy chủ cPanel duy nhất có thể lan xuống hàng nghìn website nằm dưới — toàn bộ tên miền được lưu trên máy đó, cộng với email, cơ sở dữ liệu và các tệp khách hàng. Nhóm nghiên cứu watchTowr Labs mô tả các hệ thống bị ảnh hưởng là “mặt phẳng quản trị của một phần đáng kể internet”, và nhà cung cấp KnownHost xác nhận rằng việc khai thác đã diễn ra trước khi bất kỳ cảnh báo công khai nào được công bố.

Bạn cũng có thể thíchChâu Âu bước vào kỷ nguyên exascale với siêu máy tính JUPITER

Namecheap, một trong những hãng hosting reseller lớn nhất trên nền tảng, đã thực hiện một bước đi bất thường: tạm thời chặn quyền truy cập đến cổng 2083 và 2087 — các cổng web vào cPanel và WHM — đối với toàn bộ khách hàng trong lúc bản vá đang được triển khai. Khi bản cập nhật chạm tới các đội máy Reseller và Stellar Business của công ty, nền tảng đã thực sự “tắt đèn” với thế giới bên ngoài trong nhiều giờ. Các nhà cung cấp lớn khác cũng phát đi cảnh báo tương tự và khuyến cáo khách hàng chạy /scripts/upcp –force với quyền root để buộc cập nhật thay vì chờ cửa sổ bảo trì tự động.

Hồi chuông báo động đáng kèm theo những lưu ý. Bản thân cPanel chưa công bố chi tiết kỹ thuật sâu về lỗ hổng — phần lớn các phân tích công khai đến từ các nhà nghiên cứu bên ngoài đảo ngược kỹ thuật bản vá, nghĩa là điều kiện khai thác chính xác vẫn còn bị che phủ một phần. Con số “70 triệu tên miền” là một ước lượng đã có từ lâu trong tài liệu marketing của chính cPanel và bao gồm cả các tài khoản hosting chia sẻ, nơi một máy chủ panel duy nhất phụ trách hàng nghìn website; số máy chủ duy nhất thực sự bị ảnh hưởng nhỏ hơn nhiều. Và mặc dù đã xác nhận có khai thác trước khi bản vá xuất hiện, cho đến nay vẫn chưa có vụ rò rỉ công khai quy mô lớn nào được quy cho CVE này — chuyện đó có thể thay đổi trong những tuần tới khi các cuộc điều tra pháp y khép lại, hoặc cũng có thể không thay đổi.

Sự cố này khớp với một mô hình mà các nhà nghiên cứu an ninh đã chỉ ra suốt nhiều năm: lớp quản trị của hosting tiêu dùng là một trong những mục tiêu giá trị nhất nhưng lại được giám sát ít nhất trên internet. Một lỗi trong một thành phần bảng điều khiển duy nhất có thể trao cho kẻ tấn công cùng lúc chìa khóa của hàng nghìn trang web nhỏ và trang doanh nghiệp được phòng vệ tối thiểu — không cần bất kỳ chuỗi khai thác phức tạp nào. Các lỗi vượt qua xác thực trong phần mềm cùng lớp với cPanel có giá rất cao trên thị trường ngầm, và khoảng cách giữa thời điểm công bố và lúc bản vá phủ sóng toàn diện được đo bằng nhiều tuần đối với những máy chủ độc lập không được quản lý — rất lâu sau khi chu kỳ tin tức công khai đã chuyển sang chủ đề khác.

cPanel đã phát hành các bản vá khẩn cấp vào ngày 28 tháng 4, và Namecheap cùng các nhà cung cấp lớn khác hoàn tất việc triển khai vào những giờ đầu tiên của ngày 29 tháng 4. Các quản trị viên máy chủ cPanel hoặc WHM cần xác nhận ngay rằng họ đang chạy một trong các build đã được vá, và xem như có khả năng bị xâm nhập bất kỳ máy chủ nào đã chạy một phiên bản dễ tổn thương lộ ra internet trong những ngày trước bản vá. cPanel chưa cam kết sẽ phát hành báo cáo hậu sự cố công khai.

Bài viết tương tự

SuperX ra mắt máy chủ AI XN9160-B200, tận dụng GPU NVIDIA Blackwell để mang lại hiệu suấtระดับ siêu máy tính

Sự thuần hóa cuộc trò chuyện nhóm: WhatsApp đang tái định hình đời sống xã hội số của chúng ta như thế nào

Samsung Galaxy Tab S11: lựa chọn thay thế thuyết phục nhất của Samsung trước iPad Pro

ICARUS: Console Edition được công bố cho PlayStation 5 và Xbox Series

FLOW Digital Infrastructure Bắt đầu Xây dựng Khuôn viên Trung tâm Dữ liệu Lớn tại Trung tâm Tokyo

Dragonkin: The Banished và sự trỗi dậy của phát triển RPG định hình bởi cộng đồng