概要
cPanelおよびWebHost Manager(WHM)に存在する重大な認証バイパス脆弱性 CVE-2026-41940(CVSS 9.8)が、東南アジアの政府・軍機関や複数国のマネージドサービスプロバイダー(MSP)を標的とした実際の攻撃キャンペーンで悪用されていることが確認された。CISAはすでに本脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加しており、連邦機関に対して改めて即時のパッチ適用を要求している。
攻撃者は未知の脅威アクターとみられ、フィリピン政府・軍ドメイン(*.mil.ph、*.ph)やラオス政府ドメイン(*.gov.la)に加え、フィリピン、ラオス、カナダ、南アフリカ、米国のMSPおよびホスティング企業を標的としている。Shadowserver Foundationのデータによると、2026年4月30日時点で約44,000のIPアドレスがCVE-2026-41940経由で侵害された可能性があり、5月3日時点では3,540件まで減少している。
攻撃の手口と使用ツール
この攻撃キャンペーンはIPアドレス 95.111.250[.]175 を起点とし、公開されているPoC(概念実証)エクスプロイトを使用して脆弱なcPanelサーバーに認証をバイパスしてアクセスした。侵害後は以下のツール群を組み合わせて持続的なアクセスを確立している。
- AdaptixC2:コマンド&コントロール(C2)フレームワーク
- OpenVPN・Ligolo:持続的なネットワークアクセスの確保
- Systemd:永続性維持のためのシステムレベルの仕組み
また、cPanelへの攻撃に先立ち、同一脅威アクターがインドネシア国防省の訓練ポータルに対して、脆弱なCAPTCHA実装を突いた認証済みSQLインジェクションとリモートコード実行(RCE)を組み合わせた攻撃を行っていたことも判明している。
複数アクターによる並行悪用とランサムウェアへの転用
CVE-2026-41940は開示からわずか24時間以内に複数の異なる脅威アクターによって武器化されており、Miraiボットネットの亜種や「Sorry」と呼ばれるランサムウェアの展開にも利用されている。これは公開済みのPoCが出回っていることと相まって、脆弱なシステムがあらゆる種類の攻撃者にとって格好の標的となっていることを示している。
対策と推奨事項
cPanel社はすでに更新済みの検出スクリプトとパッチをリリースしており、すべてのユーザーに即時適用を強く推奨している。CISAはKEVカタログへの追加に基づき、連邦機関に対してデッドラインを設けてパッチの適用を義務付けている。MSPやホスティング事業者を含む組織は、cPanel/WHMのバージョンを確認し、影響を受ける場合は早急に修正を適用するとともに、侵害の痕跡(IoC)として 95.111.250[.]175 をはじめとする関連IPのアクセスログを確認することが推奨される。