cPanel 的黑色星期：分析勒索软件攻击及后续漏洞

如果你正在运行使用 cPanel 或 WHM 的服务器，那么过去的几周简直是一场安全噩梦。在短短十天内，cPanel 发布了两个紧急安全补丁——第一个用于解决关键的身份验证绕过问题，第二个用于修复三个新漏洞。这一系列被称为“黑色星期”的事件已经导致 44,000 台服务器遭受勒索软件攻击。

催化剂：CVE-2026-41940 与 "Sorry" 勒索软件

要理解当前的紧迫性，我们必须回顾最初的入侵。2026 年 4 月 28 日，cPanel 修复了 CVE-2026-41940，这是一个关键的身份验证绕过漏洞（CVSS 9.8），允许未经身份验证的远程攻击者获得管理权限。

令人特别担忧的是时间线：漏洞利用尝试早在 2026 年 2 月就开始了，这意味着在修复发布之前，攻击者拥有两个月的机会窗口。该漏洞被用于部署一种基于 Go 的 Linux 加密器，用于名为 "Sorry" 的勒索软件变种，影响了至少 44,000 个 IP 地址。

2026 年 5 月 8 日，cPanel 发布了第二个技术安全发布 (TSR)，涵盖了三个新缺陷。发布时间表明，最初的勒索软件攻击触发了更深层次的代码审计，进而发现了这些额外问题。

该漏洞源于 feature::LOADFEATUREFILE adminbin 调用中输入验证不足。经过身份验证的攻击者可以操纵功能文件名称参数，以读取托管服务器上的敏感文件，例如配置文件和凭据，随后可用于策划进一步的攻击。

这是新漏洞集中最严重的一个。create_user API 调用中对 plugin 参数的输入验证不足，允许经过身份验证的用户——包括共享服务器上的任何账户持有者——执行任意 Perl 代码。鉴于 cPanel 的系统级访问权限，这可能允许一个租户破坏整个机器。

该缺陷涉及不安全的符号链接处理，允许用户使用 chmod 修改任意文件的访问权限。如果关键系统文件变得无法访问，这可能导致权限提升或完全的服务拒绝。

安全提示： 这些缺陷可以被链式利用。攻击者可以使用 CVE-2026-29202 来执行代码并创建符号链接，然后使用 CVE-2026-29203 来提升权限。

对于大多数用户，标准的更新命令即可满足需求： /scripts/upcp

如果自动更新已禁用或你处于固定层级，请使用： /scripts/upcp --force

打补丁后，务必重启 cPanel 服务： /scripts/restartsrv_cpsrvd

最后，使用 /usr/local/cpanel/cpanel -V 验证版本，以确保补丁已应用。

如果已经遭到入侵，仅打补丁是不够的。如果你的服务器在 2 月至 4 月 28 日期间未打补丁，你应该将其视为已受损。

审计日志： 查看 /usr/local/cpanel/logs/access_log 和 /usr/local/cpanel/logs/login_log，检查从 2026 年 2 月 23 日开始是否存在来自异常 IP 的异常身份验证模式。
扫描勒索软件： 对用户主目录进行递归扫描，查找具有 .sorry 扩展名的文件。

此次事件突显了 Web 托管行业中一个令人担忧的趋势。关键的 Linux 内核漏洞（如 Copy Fail 和 Dirty Frag）的集中出现以及 cPanel 攻击，表明 AI 辅助的安全研究正在加速漏洞的发现。

社区讨论反映了对这些系统架构和历史的深度的怀疑。正如一位 Hacker News 用户所言：

"Seeing these CPanel hacks remind me how old these codebases are and how much more vulnerability remain"

其他用户指出共享托管环境固有的风险，其中沙箱机制通常非常薄弱：

"Their clients can their clients can run code as an user without much sandboxing/guardrails all at all."

对于运营商来说，操作层面的含义很明确：自动更新不再是可选的，而且在重大事件发生后进行追溯性日志审查是强制性的，以确保服务器未已被破坏。 }