Менеджеры cPanel и WHM получили уведомление о критическом баге, и уже через несколько дней хакеры начали использовать его для захвата контролируемых сайтов. В понедельник Shadowserver зафиксировал более 550 000 потенциально уязвимых серверов; число подтверждённых компрометаций сократилось до 2 000 после пика в четверг (ранее оценка была около 44 000).
Как происходят атаки
Уязвимость обходит аутентификацию панели и даёт полный доступ к серверу. Некоторые жертвы увидели сообщения о шифровании файлов — типичный признак вымогательства, с указанием чата для связи с хакерами, но ответы от злоумышленников не поступали.
Реакция и последствия
Агентство CISA включило CVE‑2026‑41940 в список известных эксплуатируемых уязвимостей и потребовало от государственных структур установить патч к воскресенью. CEO KnownHost Daniel Pearson сообщил, что атаки начались в конце февраля, что свидетельствует о длительном скрытом использовании уязвимости.