cPanelのブラックウィーク:ランサムウェアの波とそれに続く脆弱性分析

cPanelのブラックウィーク:ランサムウェアの波とそれに続く脆弱性の分析

ウェブホスティングの状況は、現在深刻なセキュリティの嵐に見舞われています。わずか10日間のうちに、cPanelは、約44,000台のサーバーを侵害した壊滅的なランサムウェア攻撃を受けて、2つの緊急テクニカルセキュリティリリース(TSR)の公開を余儀なくされました。大規模な侵害に続いて、高深刻度のパッチが次々とリリースされるというこの一連の出来事は、単一のバグを超えた、システム的な脆弱性の危機を示しています。

サーバー管理者やホスティングプロバイダーにとって、これは単なるパッチ適用作業ではありません。レガシーなコードベースのリスクと、加速する現代の攻撃手法のスピードに関する重大な警告です。

触媒:CVE-2026-41940と「Sorry」ランサムウェア

現在の緊急性を理解するには、2026年4月下旬の出来事を見る必要があります。cPanelは、CVE-2026-41940、つまり重大な認証バイパスの脆弱性(CVSS 9.8)に対して緊急パッチをリリースしました。この欠陥により、認証されていないリモート攻撃者がcPanelおよびWHMに対して完全な管理者権限を取得することが可能になりました。

決定的なことに、これはゼロデイ攻撃でした。攻撃者は2026年2月からこの欠陥を利用しており、2ヶ月間、検知されないまま活動を続けていました。その結果、Go言語ベースのLinux暗号化ツールである「Sorry」として知られるランサムウェアの亜種が展開され、数万のIPアドレスに影響を与えました。この事件は、cPanelの内部コードに対する、より深く、緊急の監査の引き金となりました。

余波:3つの新しい脆弱性

2026年5月8日、cPanelは、攻撃後の監査中に発見された3つの追加の脆弱性に対処するため、2番目の緊急TSRをリリースしました。これらはランサムウェアの主要な侵入経路ではありませんでしたが、そのうちの2つは8.8という高い深刻度評価を受けています。

CVE-2026-29202: 任意のPerlコード実行 (CVSS 8.8)

これは新しいセットの中で最も深刻です。認証されたユーザー(共有ホスティング環境では、あらゆるアカウント保持者が該当し得ます)は、create_user API呼び出しを介して任意のPerlコードを注入できます。PerlコードがcPanelのコンテキスト内で実行される際、システムレベルの重要なアクセス権を持つため、この欠陥により、単一のテナントがマシン全体を侵害する可能性があります。

CVE-2026-29203: 不安全なシンボリックリンクによる権限昇格 (CVSS 8.8)

この脆弱性は、不安全なシンボリックリンクの処理に関わっています。攻撃者は、機密性の高いシステムファイルへのシンボリックリンクを作成し、cPanelを通じてchmod操作をトリガーすることで、ファイルの権限を修正できてしまいます。これは、完全なサービス拒否(DoS)や、より危険な場合には権限昇格につながる可能性があります。

CVE-2026-29201: 任意のファイル読み取り (CVSS 4.3)

深刻度は中程度と評価されていますが、この欠陥により、認証された攻撃者がfeature::LOADFEATUREFILE adminbin呼び出しを操作することで、本来アクセスできないファイルを読むことができます。これは、ルート権限への直接的な経路ではありませんが、他の攻撃手法と組み合わせるために必要な偵察データ(認証情報、内部パスなど)を提供します。

「集中修復サイクル」

これらのリリースのタイミングは、集中修復サイクルの典型的な例です。重大な侵害が発生すると、セキュリティチームは通常、「爆発半径(blast radius)」の監査を行い、同様のロジックやパターンを共有するすべての隣接するコードパスを調査します。

大規模なランサムウェア攻撃の直後に、さらに3つの脆弱性が発見されたことは、初期の欠陥が単独の事象ではなく、コードベースにおけるより広範な問題の兆候であったことを示唆しています。あるコミュニティの観察者が指摘したように、コードベースの古さが主な懸念事項です。

"CPanelのハッキング事件を見ると、これらのコードベースがいかに古いか、そしてどれほど多くの脆弱性が残っているかが思い知されます"

運用上のリカバリーとパッチ適用

cPanelサーバーを管理している方々にとって、パッチ適用は第一歩ですが、フォレンジック調査は第二のステップです。もしサーバーが2026年2月から4月28日の間にパッチ適用されていない状態であったなら、それは侵害されている可能性があるものとして扱うべきです。

即時のパッチ適用手順

  1. Updateを適用: rootとして/scripts/upcpを実行します。
  2. 強制Update (ピン留めされている場合): /scripts/upcp --forceを実行します。
  3. CloudLinux 6に関する詳細: upcpを実行する前に、/etc/cpupdate.confCPANEL=cl6110に更新します。
  4. サービス再起動: /scripts/restartsrv_cpsrvdを実行します。
  5. 確認: /usr/local/cpanel/cpanel -Vを使用して、バージョンを確認します。

フォレンジック・チェックリスト

  • ログ監査: 2026年2月23日以降の異常なパターンがないか、/usr/local/cpanel/logs/access_logおよびlogin_logを確認します。

  • ランサムウェア・スキャン: ユーザーのホームディレクトリに対して、.sorry拡張子のファイルがないか再帰的にスキャンを行います。

広範なセキュリティ・ランドスケープ

この危機は、孤立して起きているわけではありません。業界全体で、極めて短い期間に公開される、注目度の高いLinuxカーネルの脆弱性(Copy FailやDirty Fragなど)が急増しています。AIによるセキュリティ研究が、発見と攻撃のギャップを縮小させているという認識が広まりつつあります。

一部の批評家は、cPanelの普及率の高さが、巨大な攻撃対象(アタック・ターゲット)となる要因であると主張しています(一部のユーザーは、広範なターゲットになることを避けるために「独自のシステムを構築する」と示唆しています)。しかし、現実には、cPanelは非技術的なユーザーにとって、再現が困難なレベルのアクセシビリティを提供しています。しかし、現在の攻撃の波は、自動化され、AI駆動型の攻撃が支配する時代において、レガシーなモノリシック・パネルに依存することの危険性を浮き彫りにしています。「設定して放置」するサーバー管理の時代は、公式に終了しました。

Sources